Protection - Réponse d'urgence aux attaques DDoS

Les procédures décrites dans cet article requièrent le plan d'abonnement Expert WEDOS.protection, ou un plan supérieur. Pour plus d'informations, voir l'article Protection - Plan d'abonnement.

Dans cet article, vous apprendrez :

Diagnostic DDoS

Les attaques DDoS sont un type courant de cyberattaque, qui tente de submerger un site web ou une application avec un volume élevé de requêtes. Ces demandes proviennent généralement de différentes régions, mais peuvent également provenir d'une seule adresse IP, d'une seule plage ou d'un seul fournisseur. Certaines peuvent avoir un UserAgent commun, ce qui peut être utilisé pour les filtrer efficacement.

La première étape pour répondre de manière adéquate à une attaque DDoS en cours est de découvrir qui sont les attaquants et de les bloquer, sans restreindre le trafic légitime vers votre site. Le meilleur outil pour l'analyse du trafic est l'interface Grafana, que vous pouvez configurer conformément au manuel Protection - Grafana.

Si vous pensez que votre site web ou votre application fait l'objet d'une attaque, suivez les étapes suivantes :

  1. Connectez-vous à votre interface Grafana &boxbox ;.
  2. Dans le filtre Request host en haut à gauche, sélectionnez le domaine qui fait l'objet de l'attaque. Si nécessaire, modifiez également l'intervalle de temps en haut à droite en le fixant à 5 minutes.
  3. Rechercher dans les journaux des comportements suspects.
  4. Déterminez la meilleure méthode de blocage en suivant les conseils ci-dessous.

En cas d'urgence, vous pouvez utiliser la géolocalisation pour bloquer rapidement tout accès en provenance d'autres pays ou continents et vous donner le temps d'analyser le trafic et de mettre en place des filtres plus efficaces.

Il n'existe pas de méthode unique pour effectuer l'analyse des journaux, mais il est conseillé de vérifier :

  • Anomalies. Le tableau Anomalies répertorie les demandes comportant des codes d'erreur. Il s'agit notamment de demandes bloquées (456), que le système bloque déjà activement. Il n'est pas nécessaire de prendre des mesures à leur encontre.
  • Demandes provenant de pays. Si un grand nombre de demandes provenant de pays inhabituels apparaissent sur cette liste, utilisez la géolocalisation pour bloquer ces pays jusqu'à ce que l'attaque se calme.
  • TOP10 des adresses IP des clients. Bien que cela ne soit pas courant dans le cas d'une attaque DDoS, il se peut que vous trouviez un nombre anormalement élevé de requêtes provenant d'une poignée d'adresses IP. Vous pouvez les bloquer à l'aide de filtres.
  • Rapport sur leTOP10 des UserAgents et ASN. Dans certaines circonstances, les attaquants peuvent partager un UserAgent ou un ASN. Vous pouvez facilement les filtrer.
Tableau de bord Grafana avec les zones d'intérêt marquées
Tableau de bord Grafana avec les zones d'intérêt marquées

Si vous ne parvenez pas à localiser et à filtrer la source de l'attaque, bloquez-la à l'aide d'un WAF.

Lorsque les attaques DDoS ne parviennent pas à mettre un système hors service, elles disparaissent généralement en quelques minutes. Continuez à surveiller la situation et lorsque vous ne détectez plus de trafic malveillant, essayez de désactiver à nouveau les mesures d'urgence.

Blocage d'urgence

Si les filtres automatiques mettent trop de temps à empêcher une attaque DDoS (ou toute autre attaque similaire) sur votre site web ou votre application, nous vous recommandons de mettre en place un système de filtrage automatique :

  • La géolocalisation permet d'isoler rapidement le trafic en provenance de votre pays ou de votre continent, ou de bloquer le trafic en provenance de régions attaquées.
  • Les filtres bloquent des IP, ASN ou UserAgents spécifiques.
  • Le Web Application Firewall (WAF) est capable de filtrer le trafic sur la base de règles plus strictes avec un niveau de paranoïa plus élevé.

Blocage de la géo-IP

Pour configurer le GeoIP, suivez les étapes suivantes :

  1. Connectez-vous au panneau d'administration de WEDOS.global &boxbox ;.
  2. Sélectionnez le domaine attaqué.
  3. Dans le menu de gauche, sélectionnez GeoIP.
  4. Activer la géolocalisation personnalisée.
  5. Configurez le GeoIP en fonction de vos besoins (voir ci-dessous) et enregistrez.

Vous utiliserez généralement le blocage GeoIP pour :

  • Ne mettre le site web ou l'application à la disposition des utilisateurs que dans une zone spécifique en suivant les étapes suivantes :
    1. Dans la section Paramètres d'accès, sélectionnez l'option Autoriser l'accès et enregistrez.
    2. Sélectionnez la (les) région(s) cible(s) disponible(s) dans la carte GeoIP. Le trafic provenant de régions non sélectionnées (en bleu) sera bloqué.
    3. Dans la liste des régions sélectionnées, cliquez sur le bouton Enregistrer les régions sélectionnées.
  • Bloquer le trafic en provenance de pays avec une quantité ou un ratio élevé de requêtes problématiques non bloquées en suivant les étapes suivantes :
    1. Dans la section Paramètres d'accès, sélectionnez l'option Bloquer l'accès et enregistrez.
    2. Sélectionnez la (les) région(s) cible(s) disponible(s) dans la carte GeoIP. Le trafic en provenance des régions non sélectionnées (en bleu) sera autorisé.
    3. Dans la liste des régions sélectionnées, cliquez sur le bouton Enregistrer les régions sélectionnées.
Restrictions de l'accès des échantillons au Benelux et à l'Allemagne, le trafic en provenance de n'importe quel autre pays est bloqué
Restrictions de l'accès des échantillons au Benelux et à l'Allemagne, le trafic en provenance de n'importe quel autre pays est bloqué

Pour plus d'informations sur le GeoIP, voir l'article Protection - Filtres, GeoIP, WAF.

Filtrage du trafic

Les filtres de trafic disponibles sont les suivants :

  • IP. Bloque toutes les requêtes provenant d'une adresse ou d'une plage d'adresses IP spécifiée.
  • ASN. Bloque toutes les demandes provenant d'un certain ASN (numéro de système autonome, identifiant généralement un fournisseur de services Internet).
  • URL. Bloque tout le trafic vers une certaine URL, quelle qu'en soit la source. À utiliser si l'attaque vise une ressource spécifique.
  • UserAgent. Bloque le trafic sur la base des chaînes UserAgent.

Pour configurer les filtres IP, ASN, URL ou UserAgent, procédez comme suit :

  1. Connectez-vous au panneau d'administration de WEDOS.global &boxbox ;.
  2. Sélectionnez le domaine attaqué.
  3. Dans le menu de gauche, sélectionnez Filters.
  4. Activez les filtres personnalisés que vous souhaitez utiliser.
  5. Ajouter les IP, ASN et UserAgents qui posent problème.
Ajout d'un exemple d'adresse suspecte au filtre IP
Ajout d'un exemple d'adresse suspecte au filtre IP

Pour plus d'informations sur les filtres, voir l'article Protection - Filtres, GeoIP, WAF.

Filtrage WAF

S'il n'y a pas d'indicateur clair sur la source ou la cible du trafic malveillant, nous vous conseillons d'augmenter le niveau de paranoïa du WAF pendant la durée de l'attaque.

Pour modifier le niveau de paranoïa du WAF, procédez comme suit :

  1. Connectez-vous au panneau d'administration de WEDOS.global &boxbox ;.
  2. Sélectionnez le domaine attaqué.
  3. Dans le menu de gauche, sélectionnez WAF.
  4. Activer le WAF personnalisé.
  5. Dans la section Niveau de paranoïa , sélectionnez Niveau 2.
Réglage du niveau de paranoïa du WAF à 2
Réglage du niveau de paranoïa du WAF à 2

Pour plus d'informations sur le Web Application Firewall, voir l'article Protection - Filtres, GeoIP, WAF.

FAQ

Pourquoi les options de cet article ne sont-elles pas disponibles ?

Les options ne sont disponibles que pour les utilisateurs ayant souscrit à l'abonnement Expert ou à un abonnement supérieur. Pour plus d'informations, voir l'article Protection - Plan d'abonnement.

Quelle est la durée habituelle d'une attaque DDoS ?

Ce type d'attaque est généralement assez coûteux, de sorte que si elle ne parvient pas à abattre la cible dans les premières minutes, les attaquants l'interrompent souvent et s'en vont.

Cela a-t-il été utile ?

Merci pour vos commentaires !
Sélecteurs génériques
Correspondance exacte uniquement
Recherche dans le titre
Recherche dans le contenu
Sélecteurs de type de message
Article TOC
Parcourir les catégories