Les attaques par déni de service distribué (DDoS) menacent les entreprises de temps d'arrêt qui peuvent nuire à leur marque et même entraîner des pertes financières. Avec les nombreux réseaux de robots et services DDoS alimentés par des appareils IoT, la menace d'une attaque est plus importante que jamais. F5 offre une protection contre les attaques DDoS adaptée à votre architecture.
Attaqué ? Téléphonez au (866) 329-4253 ou +1(206) 272-7969
Elles consomment toute la bande passante disponible sur la liaison réseau qui connecte une application à Internet ou à d'autres réseaux.
Elles imitent des requêtes d'applications légitimes mais tentent de surcharger les ressources du serveur Web telles que le processeur ou la mémoire.
Elles tentent d'épuiser les ressources de l'infrastructure, telles que les tables d'état des pare-feu, entraînant un plantage ou une dégradation des performances.
Explorez les différents niveaux de l'application pour découvrir comment différentes attaques DDoS ciblent chaque partie de l'application.
Dans une inondation HTTP, l'attaquant exploite des requêtes HTTP GET ou POST apparemment légitimes pour attaquer un serveur Web ou une application. Ces attaques consomment généralement moins de bande passante que les autres mais se concentrent sur le déclenchement d'un traitement complexe côté serveur pour mettre à mal le site ou l'application cible. Les inondations HTTP peuvent parfois déclencher des réponses de serveurs Web qui peuvent en faire une attaque volumétrique par saturation du canal.
Slowloris fonctionne en ouvrant plusieurs connexions à un serveur web et en envoyant des requêtes HTTP, dont aucune n'est jamais terminée. Périodiquement, l'assaillant envoie des en-têtes HTTP successifs pour chaque requête, mais ne complète jamais réellement la requête. En fin de compte, le pool de connexions simultanées maximal du serveur cible est atteint et les connexions légitimes sont refusées.
Pendant la phase de reconnaissance, un assaillant va mapper les URL les plus coûteuses en ressources informatiques sur un site ou une application, aussi connues sous le nom d'URL lourde. Les URL lourdes incluent toutes les URL entraînant une plus grande charge du serveur sur demande. La requête HTTP initiale est relativement petite mais peut prendre beaucoup de temps pour s'achever ou produire des réponses de grande taille. Ces requêtes peuvent obliger le serveur à charger plusieurs fichiers volumineux ou à exécuter des requêtes de base de données gourmandes en ressources.
Un assaillant commence par envoyer une requête HTTP POST légitime à un serveur web, dans laquelle l'en-tête spécifie la taille exacte du corps du message qui va suivre. Cependant, ce corps de message est alors envoyé à un rythme extrêmement lent. Étant donné que le message est techniquement correct et complet, le serveur ciblé tente de suivre toutes les règles spécifiées. Si un assaillant lance suffisamment de ces attaques POST simultanément, elles consomment les ressources du serveur dans la mesure où les requêtes légitimes sont refusées.
Un attaquant essaie plusieurs combinaisons de nom d'utilisateur et de mot de passe, souvent en utilisant un dictionnaire de mots ou des mots de passe couramment utilisés pour accéder sans autorisation à une application ou à un site Web.
Une mesure d'atténuation courante consiste à verrouiller temporairement les comptes d'utilisateur en cas d'échec de plusieurs tentatives de connexion. Toutefois, cela peut entraîner un déni de service pour les comptes concernés.
Cette attaque profite d'une charge de travail asymétrique en demandant une connexion sécurisée, puis en la renégociant continuellement. Cela nécessite beaucoup de puissance processeur de la part du serveur et peut ralentir les connexions actuelles ou nouvelles, voire même l'arrêter.
Les attaquants envoient de nombreuses demandes de connexion TLS/SSL et le client qui ne ferme jamais la connexion. Une fois la limite de connexions simultanées atteinte, le point de terminaison TLS arrête le traitement du trafic, y compris les demandes légitimes.
Variante d'une attaque de renégociation SSL, l'attaque squeeze tente continuellement de renégocier le handshake de connexion, forçant le serveur à déchiffrer les requêtes « junk ».
La renégociation typique des attaques de renégociation de handshakes SSL multiplexes, qui peut être atténuée en désactivant la renégociation sur le serveur. Cependant, l'attaque SSL squeeze ouvre de nouvelles connexions TCP pour chaque requête, consommant éventuellement des E/S.
Les serveurs DNS s'appuient sur le protocole UDP pour la résolution des noms, qui (contrairement aux requêtes TCP) est sans connexion. Comme il n'est pas nécessaire de confirmer que les paquets UDP ont été reçus, l'usurpation d'identité est facile à réaliser.
Cette attaque de botnet chiffré tente de submerger les ressources du serveur, affectant finalement la capacité des serveurs DNS à diriger les requêtes légitimes. L'attaque peut consister en un trafic UDP valide provenant de sources multiples ou de données par paquets aléatoires. Cela permet à ce type d'attaque d'échapper aux techniques de protection DDoS de base comme le filtrage d'IP.
Une variante de l'inondation du DNS, un cybercriminel inonde le serveur DNS de requêtes pour des enregistrements invalides ou inexistants. Le serveur DNS utilise ensuite ses ressources à chercher quelque chose qui n'existe pas au lieu de servir des requêtes légitimes. Le résultat est que le cache sur le serveur DNS est rempli de mauvaises requêtes et les clients ne peuvent pas trouver les serveurs qu'ils recherchent.
L'amplification DNS est un type d'attaque par réflexion qui manipule les serveurs DNSvulnérablesface à Internet, ce qui les amène à inonder une ressource Internet avec un afflux de paquets UDP volumineux.
Un botnet contrôlé par le cybercriminel est scénarisé pour envoyer de petites requêtes DNS, mais spécialement formées, à tout résolveur DNS accessible au public. Cela suscite une réponse disproportionnée de la part du résolveur DNS. Les en-têtes de paquets comprennent également une adresse IP usurpée, l'adresse IP de la cible DDoS. Dès réception de la requête, les résolveurs DNS ouverts fournissent une réponse extrêmement large à la cible de l'attaque, ce qui consomme finalement la bande passante de la ressource Internet.
Chaque conversation client-serveur commence par un handshake tripartite standard. Le client envoieun paquetSYN, le serveur répond avecun SYN-ACKet la connexion TCP est établie avec un client final ACK. Dansun paquetd'inondationSYN,le client envoie un nombre massif de requêtes SYN, et ne répond jamais aux messages SYN-ACK du serveur.
Cela laisse le serveur avec des connexions ouvertes en attente des réponses du client. Chacune de ces connexions semi-ouvertes est suivie dans la table de connexion TCP, remplissant éventuellement la table et bloquant les tentatives de connexion supplémentaires, légitimes ou non.
Une attaque par amplification est un type d'attaque par réflexion qui tire parti de la capacité d'envoyer de petits paquets usurpés à des services qui, dans le cadre de leur fonctionnement normal, répondront à la cible avec une réponse beaucoup plus importante.
Memcached est un système de mise en cache de base de données pour accélérer les sites Web et les réseaux. Les cybercriminels peuvent usurper des requêtes à un serveur memcached vulnérable face à Internet, qui inonde alors une cible de trafic, ce qui peut submerger leurs ressources. Bien que l'infrastructure de la cible soit surchargée, les nouvelles demandes ne peuvent être traitées et le trafic régulier ne peut accéder à la ressource Internet, ce qui entraîne un déni de service.
D'autres types d'attaques par amplification comprennent NTP, SSDP, SNMPv2, CharGEN, QOTD, etc.
L'UDP est un protocole de communication standard sur les réseaux IP. Comme les paquets UDP sont sans état, ils nécessitent moins de vérification et de validation des erreurs que les paquets TCP. Une attaque par inondation UDP tente de surcharger un serveur de requêtes en saturant les tables de connexion sur chaque port de serveur accessible.
Remplir la table de connexion avec ces demandes empêche le traitement des demandes légitimes.
La fragmentation IP est un processus établi par la conception du protocole IP qui divise les paquets ou les datagrammes en fragments plus petits, afin qu'ils puissent passer par des liaisons réseau dont la limite maximale d'unité de transmission (MTU) est plus petite. Les dispositifs de sécurité hôtes ou à états recevant les fragments les réassemblent dans le datagramme original. L'en-tête IP des paquets ou des datagrammes indique au récepteur comment réassembler le datagramme.
Ces attaques se présentent sous diverses formes, mais toutes les variantes tentent d'utiliser la fragmentation pour submerger le serveur cible ou le nœud réseau.
Lorsque vous réfléchissez au modèle de protection qui convient le mieux à votre entreprise,pensezà la facilité de déploiement en fonction de l'endroit où vos applications sont hébergées — dans le cloud, sur site ou un mélange des deux.Tenezégalement compte du nombre de vos experts internes et du niveau de gestion pratique que vous préférez. Votre solution peut évoluer au fil du temps en fonction de l'évolution des besoins de protection de l'infrastructure applicative.
Maintener le contrôle direct de l'atténuation des DDoS par les dispositifs possédés et exploités, mais restez vulnérable aux attaques de grande envergure qui dépassent la capacité de la bande passante.
Tout le trafic passe par F5 Silverline avec une surveillance experte 24 h/24 et 7 j/7 et une atténuation des attaques.
Gardez le contrôle du timing et des techniques d'atténuation, mais bénéficiez de l'aide à la demande automatisée de F5 Silverline pour les attaques importantes gourmandes en bande passante
F5 fournit des solutions fluides, flexibles et faciles à déployer qui permettent une réponse rapide, quel que soit le type d'attaque DDoS que vous subissez.
Votre réseau, le DNS et le TLS ne sont pas souvent considérés comme faisant partie d'une application. Mais les attaques DoS ou DDoS contre ces couches peuvent rendre vos réseaux, applications ou autres infrastructures de prise en charge inaccessibles. Nos solutions de protection DDoS garantissent que les attaques contre ces couches n'entraîneront pas de dégradation des performances ou de temps d'arrêt.
La suite de produits DDoS de F5 offre une protection complète et s'intègre facilement à l'environnement qui convient à votre entreprise.
Une solution matérielle qui protège contre les attaques réseau mixtes et les attaques d'applications sophistiquées, tout en permettant un déchiffrement SSL complet, des capacités anti-bot et des méthodes de détection avancées, le tout dans un seul dispositif. Le DDoS Hybrid Defender offre également une option de signalisation automatisée en amont pour éliminer le trafic nuisible avant qu'il n'atteigne votre datacenter.
Silverline DDoS Protection est un service de protection cloud entièrement géré, qui détecte et atténue les attaques à grande échelle, SSL/TLS ou ciblées en temps réel.
F5 propose plusieurs options pour gérer votre solution DDoS. Plusieurs facteurs, comme l'endroit où l'application est hébergée et le nombre d'experts techniques internes dont vous disposez, peuvent vous aider à décider de ce qui convient à votre entreprise.
Un service de nettoyage du cloud, géré par des experts F5 DDoS. Ce service détecte et atténue les attaques à grande échelle ciblant les couches 3 à 7, pour retourner un trafic propre vers votre site ou application.
Un dispositif pour votre datacenter sur site ou en colocation qui vous permet de contrôler directement l'atténuation des attaques DDoS. Déployez une solution hybride et tirez parti de notre service de nettoyage du cloud pour les attaques volumétriques saturant la bande passante.
Les solutions F5 DDoS sont disponibles en plusieurs options de déploiement, il n'est donc pas nécessaire de modifier l'architecture pour atténuer les attaques DDoS.
Besoin d'aide pour déployer votre solution F5 ?
Contactez F5 : 01 41 44 89 50
Un service géré qui traite en continu tout le trafic par le biais des services de nettoyage du cloud. Silverline ne retourne que du trafic propre vers votre site ou application.
Un service géré dans le Cloud qui est préconfiguré pour vos systèmes et fonctionne en mode veille. Des mesures d'atténuation peuvent être prises en cas d'attaque.
Déployez votre dispositif d'atténuation DDoS sur site en ligne pour l'ensemble du trafic, afin qu'il soit bien placé pour analyser immédiatement le trafic anormal et le bloquer si nécessaire.
Déployez votre dispositif d'atténuation DDoS en parallèle du trafic pour vous assurer que le trafic transite par le moins d'appareils possible. Quand une attaque est reconnue, votre appliance signale à votre routeur de rediriger le trafic à travers l'appliance d'atténuation DDoS pour prévenir toute dégradation du service. Au fur et à mesure que l'attaque s'apaise, la circulation reprend son cours normal.
Ajoutez notre service de nettoyage du cloud à votre déploiement sur site pour réagir aux attaques volumétriques de saturation de la bande passante. La solution sur site indique automatiquement à notre service de nettoyage du cloud entièrement gérée et à la demande qu'il faut prendre en charge l'atténuation.
Spécifiez le nombre d'instances dont vous avez besoin et abonnez-vous pour une durée de 1, 2 ou 3 ans qui comprendra la maintenance, l'assistance et les mises à jour.
Déterminez le nombre d'instances dont vous avez besoin et souscrivez à un acccont de licence. Les licences perpétuelles s'étendent sur toute la durée de vie du produit et sont disponibles par service individuel ou en lots.
Disponibles pour des durées de 1, 2 ou 3 ans, les ELA offrent une flexibilité permettant aux grandes entreprises d'augmenter ou de réduire le nombre d'instances virtuelles selon leurs besoins. La maintenance et l'assistance produit sont incluses.
Les attaques de niveau 7 sont beaucoup plus fréquentes dans le paysage de la menace actuel. Les auteurs des attaques utilisent de plus en plus d'attaques faibles et lentes qui ciblent la puissance de calcul d'une application pour dégrader les performances ou l'arrêter. Ces attaques évitent la détection au niveau du réseau et sont souvent propres à une application particulière
La suite de produits DDoS de F5 offre une protection complète et s'intègre facilement à l'environnement qui convient à votre entreprise.
Une solution matérielle qui protège contre les attaques réseau mixtes et les attaques d'applications sophistiquées, tout en permettant un déchiffrement SSL complet, des capacités anti-bot et des méthodes de détection avancées, le tout dans un seul dispositif. Le DDoS Hybrid Defender offre également une option de signalisation automatisée en amont pour éliminer le trafic nuisible avant qu'il n'atteigne votre datacenter.
Silverline DDoS Protection est un service de protection cloud entièrement géré qui détecte et atténue les attaques à grande échelle, SSL/TLS ou ciblées en temps réel.
F5 propose plusieurs options pour gérer votre solution DDoS. Plusieurs facteurs, comme l'endroit où l'application est hébergée et le nombre d'experts techniques internes dont vous disposez, peuvent vous aider à décider de ce qui convient à votre entreprise.
Un service de nettoyage du cloud, géré par des experts F5 DDoS. Ce service détecte et atténue les attaques à grande échelle ciblant les couches 3 à 7, pour retourner un trafic propre vers votre site ou application.
Un dispositif pour votre datacenter sur site ou en colocation qui vous permet de contrôler directement l'atténuation des attaques DDoS.
Un dispositif sur site vous permettant de contrôler l'atténuation des attaques DDoS. Pour les attaques volumétriques de saturation de la bande passante qui ne peuvent pas être gérées par une solution sur site, le dispositif les signale automatiquement à notre service de nettoyage du cloud en amont entièrement géré.
Les solutions F5 DDoS sont disponibles en plusieurs options de déploiement, il n'est donc pas nécessaire de modifier l'architecture pour atténuer les attaques DDoS.
Besoin d'aide pour déployer votre solution F5 ?
Contactez F5 : 1-888-882-7535
Un service géré dans le cloud qui traite en continu tout le trafic via les services de nettoyage du cloud Silverline qui ne retourne que du trafic propre vers votre site ou application.
Un service géré dans le cloud qui est préconfiguré pour vos systèmes et fonctionne en mode veille. Des mesures d'atténuation peuvent être prises en cas d'attaque.
Déployez votre dispositif d'atténuation DDoS sur site en ligne pour l'ensemble du trafic, afin qu'il soit bien placé pour analyser immédiatement le trafic anormal et le bloquer si nécessaire.
Déployez votre dispositif d'atténuation DDoS horschemindu trafic pour vous assurer que le trafic traverse le moins d'appareils possible. Quand une attaque est reconnue, votre appliance signale à votre routeur de rediriger le trafic à travers l'appliance d'atténuation DDoS pour prévenir toute dégradation du service. Au fur et à mesure que l'attaque s'apaise, la circulation reprend son cours normal.
Spécifiez le nombre d'instances dont vous avez besoin et abonnez-vous pour une durée de 1, 2 ou 3 ans qui comprendra la maintenance, l'assistance et les mises à jour.
Déterminez le nombre d'instances dont vous avez besoin et souscrivez à un acccont de licence. Les licences perpétuelles s'étendent sur toute la durée de vie du produit et sont disponibles par service individuel ou en lots.
Disponibles pour des durées de 1, 2 ou 3 ans, les ELA offrent une flexibilité permettant aux grandes entreprises d'augmenter ou de réduire le nombre d'instances virtuelles selon leurs besoins. La maintenance et l'assistance produit sont incluses.
Découvrez notre gamme de produits robustes pour répondre à vos besoins de sécurité applicative.
Des renseignements exploitables sur les menaces applicatives qui analysent le qui, le quoi, le quand, le pourquoi, le comment et le quoi d'autre des cyberattaques.