Blog GlobalSign

03 avr. 2017

Attaques DDoS sur serveurs Cloud, quels logiciels Open Source utiliser pour les contrer ?

Les attaques par déni de service distribué (DDoS) sont une forme d’attaque préméditée qui vise les infrastructures Web d’une organisation. Ces attaques sont malheureusement en hausse.

Ce type d’attaque submerge la cible de requêtes en exploitant plusieurs systèmes externes pour noyer le système visé sous un afflux massif de trafic sur le réseau. Ces attaques font mouche car un système non protégé aura du mal à distinguer le trafic authentique du trafic DDoS.

Si vous utilisez un serveur privé virtuel (VPS) ou un serveur Cloud, cet article devrait vous permettre de savoir quel logiciel Open Source utiliser pour vous prémunir des attaques par DDoS.

DDoS Deflate

DDos Deflate est un script shell Open Source facile à mettre en place sur votre serveur et à configurer pour réduire la portée de la plupart des attaques par DDoS.

Découvrez quelques-unes des fonctionnalités de DDoS Deflate :

  • Détection automatique des règles dans Iptables ou un pare-feu APF (pare-feu basé sur des règles)
  • Blocage temporaire des adresses IP (30 minutes par défaut)
  • Création de listes blanches et de listes noires pour l’autorisation ou le blocage des connexions au serveur
  • Envoi de notifications à l’administrateur sur les actions prises

Fail2Ban

Fail2ban fonctionne de façon assez similaire à DDoS Deflate en rejetant le trafic en fonction d’une analyse du profil des adresses IP malveillantes.

On retrouve les fonctionnalités suivantes dans cet outil efficace :

  • Simplicité de configuration avec quelques fonctionnalités d’automatisation
  • Compatibilité avec les pare-feu existants comme iptables
  • Création de listes blanches et de listes noires personnalisables
  • Blocage des attaques automatisées par force brute
  • Blocage des adresses IP sur certaines plages horaires

Fail2Ban est une solution intéressante pour tout serveur Web doté du SSH et de peu d’autres services.

Module Apache mod_evasive

Le module mod_evasive permet de protéger les serveurs Web Apache contre les attaques par DDoS. Il comprend également des fonctions de notification par e-mail et SYSLOG.

Ce module très efficace présente l’avantage de s’adapter en temps réel aux situations en créant des règles à la volée en fonction des modèles suivants qu’il détecte :

  • Nombre de demandes d’accès par seconde trop élevé pour une même page
  • 50 connexions simultanées au même processus enfant par seconde
  • Demandes supplémentaires lancées à partir d’adresses IP figurant sur la liste noire

Parmi les fonctionnalités proposées pour empêcher les attaques DDoS, on retrouve les fonctionnalités suivantes :

  • Possibilité pour l’administrateur du serveur de limiter l’accès à certaines pages en fonction du nombre de requêtes qu’une adresse IP est capable de faire (option DOSPageCount).
  • Option DOSSiteCount : possibilité de limiter l’accès à tout un site en fonction du nombre de connexions effectuées par une adresse IP
  • Fonction DOSHashTable : contrôle «?qui?» accède «?à quoi?» sur le serveur Web en fonction des précédentes visites pour déterminer les connexions à autoriser ou à bloquer

L’administrateur peut être informé par e-mail des actions prises par le module Apache mod_evasive.

Le module mod_evasive est assez facile à utiliser et gratuit du fait de l’intégration des modules Open Source dans Apache.

FastNetMon

FastNetMon est un autre outil d’atténuation des DDoS extrêmement performant. Il est basé sur un moteur d’analyse de paquets (PF_RINGsFLOWNetflowPCAP).

Voici quelques-unes des fonctionnalités de FastNetMon :

  • Traitement du trafic entrant et sortant
  • Prise en charge du déclenchement d’un script de blocage lorsque le seuil de charge réseau, c’est-à-dire le nombre de paquets ou octets par seconde, est dépassé.
  • Possibilité de normaliser (untag) des réseaux locaux virtuels (VLAN) pour séparer différents réseaux
  • Capable de déchiffrer les réseaux utilisés pour les télécommunications de haute performance
  • Décryptage des protocoles cryptés pour enquêter sur les paquets malveillants
  • Reroutage du trafic DDoS vers un «?trou noir?»
  • Bon fonctionnement sur les réseaux en miroir
  • Fonctionnement sur un serveur routeur /routeur logiciel (virtuel)
  • Haute performance : détection des DoS/DDoS en 1 à 2 secondes
  • Haute compatibilité avec Ubuntu, Free BSD, Mac OS?; testé jusqu’à 10GE avec 5 à 6 Mbit/s sur Intel i7 2600 avec Intel Nic 82599.

HAPROXY

HaProxy est un excellent outil d’équilibrage de charge Open Source. Il est également efficace contre les attaques DDoS qui ciblent les serveurs Cloud.

Il propose les fonctionnalités suivantes :

  • Blocage du trafic en fonction de la bande passante
  • Tableaux des IP sur listes blanches et listes noires que l’outil intègre à sa configuration en fonction du jeu de règles
  • Blocage des IP susceptibles de lancer des attaques DDoS
  • Capacité à identifier les bots qui lui confère son efficacité face aux attaques DDoS
  • Capacité d’empêcher les attaques de type Syn Flood et fonctionnalités comme les limitations de connexions, etc.

DDOSMON

DDOSMON est un autre outil de bas-niveau utilisé pour surveiller et contenir les attaques DDoS. Capable de surveiller le trafic susceptible de générer des attaques, cet outil réagit en alertant et en déclenchant les actions définies par l’utilisateur en fonction du type d’attaque.

Il est capable de détecter les attaques suivantes :

Il détecte l’attaque, envoie un e-mail de notification à l’administrateur et prend des mesures correctives.

NGINX

Connu pour être un outil d’équilibrage de charge sur ApacheNGINX intègre également de puissantes fonctionnalités permettant de limiter la portée des attaques DDoS.

Exemples des fonctionnalités de protection contre les DDoS sur NGINX :

  • Limites de débit, identification des IP simultanées afin de limiter les accès en fonction des adresses IP des clients
  • Possibilité de bloquer les clients en fonction de leurs critères de géolocalisation à l’aide du module_ngx_http_geo?; blocage de pays entiers en cas de besoin
  • Identification possible des agents grâce à la vérification de leurs fonctionnalités flash et JavaScript
  • Association possible avec HaProxy pour une protection renforcée contre les attaques DDoS

En bref

J’ai dressé ici la liste des outils les plus populaires, les plus faciles à utiliser et ceux qui sont particulièrement efficaces pour protéger votre serveur Cloud des attaques DDoS. À eux tous, ils devraient permettre à la plupart des administrateurs de mettre leurs serveurs à l’abri des attaques DDoS.

Tony cherche à aider ses clients à maximiser leur présence en ligne. Cofondateur de Pickaweb, il est également l’auteur de «?The Lazy Website Syndrome?», un livre noté 5 étoiles sur Amazon, qui propose aux lecteurs une méthode en 3 étapes pour booster leur entreprise grâce au marketing en ligne. Tony vit actuellement dans le sud de l’Espagne.

Pickaweb propose une gamme complète de services pour les PME : noms de domaine, hébergement Web, hébergement de revendeur, serveurs virtuels dédiés, serveurs Cloud, serveurs dédiés, certificats SSL ainsi qu’un créateur de sites Web facile à utiliser.

Partager ce blog