Mitigation DDoS


Techniques de mitigation des principales attaques sur Internet

Les attaques par déni de service distribué ont recours à de multiples vecteurs pour permettre aux hackers d’arriver à leurs fins. La plus utilisée est la distribution de dispositifs d’attaque. L’attaquant peut tirer parti d’un grand nombre d’ordinateurs (ou d’autres dispositifs, comme des caméras, des DVR, l’IoT...) dans le monde entier, une technique plus connue sous le nom de botnet. Ce type d’attaque peut saturer toute une infrastructure avant même d’atteindre le serveur cible, rendant la situation totalement ingérable depuis un seul point de destination ou par un seul utilisateur. Pour lutter contre les attaques DDoS, OVHcloud associe une présence mondiale, un surdimensionnement de la capacité du réseau, une logique de détection distribuée et des dispositifs de filtrage à haute performance. Grâce à notre expérience et aux dernières innovations, nous proposons un système qui vous permet de vous concentrer sur ce qui compte pour vous, sans avoir à vous soucier des attaques du réseau.

Anti-DDOS_Mitigation

Avant de procéder à la mitigation

Icons/concept/Magnifying Glass/Magnifying Glass Check Created with Sketch.
Analyse et détection

Les attaques réseau peuvent être détectées en analysant en temps réel les données envoyées par les routeurs (NetFlow, sFlow ou autres protocoles). Si un trafic suspect est détecté, des mécanismes de routage internes redirigent le trafic via un certain nombre de nœuds VAC distribués (à partir de l’aspiration) pour une analyse plus approfondie et un filtrage précis.

Icons/concept/Lines/Line Communicating Created with Sketch.
Approfondissement

Une fois le trafic acheminé vers nos nœuds d’infrastructure VAC, une analyse approfondie est effectuée. Cette opération se déroule simultanément dans tous nos datacenters, de sorte que la puissance de traitement de toutes les régions (plus de 17 Tbps à partir de 2021) est combinée. Afin de garantir le meilleur niveau de qualité, nous établissons plusieurs connexions réseau par région et maintenons la capacité du réseau en surdimensionnement. Nous avons ainsi la possibilité de traiter ces attaques sans affecter les activités légitimes.

Icons/concept/Lines/Lines Symmetrical Created with Sketch.
Mitigation effective

Enfin, la mitigation consiste à filtrer le trafic en plusieurs étapes, afin que seul le trafic légitime atteigne un serveur. Il s’agit de la partie la plus complexe, car elle entreprend les tâches les plus difficiles. Nous avons conçu cette étape en tirant parti de la technologie ACL, avec des innovations sur l’architecture x86 et la mise en œuvre du code sur des puces FPGA ultra-rapides.

La mitigation des attaques DDoS chez OVHcloud

Anti-DDOS_migration

Lorsqu’une requête ou un simple paquet réseau provient d’Internet, le premier point d’aperçu est le point de présence (PoP), c’est-à-dire l’emplacement où le réseau OVHcloud se connecte aux autres fournisseurs. Pour une meilleure protection, nous y installons des dispositifs d’amplitude du matériel client (HCAP), un composant de système global Anti-DDoS. Ensuite, les paquets sont acheminés à l’intérieur de notre réseau backbone puis livrés à nos datacenters.

Les datacenters OVHcloud sont équipés d’une pile matérielle spéciale et performante, comprenant un nœud d’atténuation des DDoS VAC. Elle fonctionne à la fois pour la protection locale, mais également en tant que partie d’un système global, ce qui signifie qu’elle peut se décharger sur d’autres emplacements lors des attaques plus importantes. Les paquets peuvent être envoyés directement vers les racks et les serveurs d’un datacenter ou passer par une analyse approfondie et une atténuation par VAC, en cas de trafic suspect.

Enfin, pour les produits équipés d’une protection supplémentaire au niveau des applications (comme la gamme BareMetal Game équipée de Game DDoS Protection), il existe un système de filtrage supplémentaire qui fonctionne à proximité du service lui-même pour bénéficier d’une compréhension approfondie des applications et offrir une atténuation détaillée du trafic d’attaque.

HCAP

Le dispositif d’amplitude du matériel client (HCAP) est le tout premier composant de la ligne de défense qui protège les services de chaque client. Il permet de décharger les nœuds VAC du datacenter si nécessaire pour obtenir les meilleures performances et la meilleure répartition de la charge lors d’une attaque. Il peut également agir comme un composant limitant le débit si nécessaire.

Anti-DDOS_HCAP
Anti-DDOS_network_firewall

Edge Firewall Network

Premier composant du VAC, Edge Firewall Network est une solution qui limite l’exposition aux attaques de la couche réseau à partir du réseau public. Il s’active automatiquement dès qu’une attaque DDoS commence. Il est possible de configurer jusqu’à 20 règles de sous-ensembles côté client, qui filtreront les paquets de manière plus précise et adaptée à l’activité de votre serveur. Chaque règle correspond à une autorisation spécifique qui vous permet d’optimiser la protection de votre service (et de sécuriser la bande passante du réseau à l’intérieur d’un datacenter). Ce pare-feu s’active automatiquement dès qu’une attaque DDoS commence et reste activé pendant toute la durée de l’attaque (vous pouvez également le configurer pour qu’il soit activé en permanence).  Ce guide technique vous aidera à configurer les règles.

Shield and Armor

Le matériel Shield and Armor effectue une détection avancée des menaces, empêchant la saturation des ressources d’un serveur (principalement les cycles du CPU). Shield intervient si un attaquant utilise une technique d’amplification (amplification DNS ou amplification NTP), d’usurpation d’adresse IP ou des vecteurs d’attaque par réflexion. En tant que dernier composant de la ligne de défense, Armor est le filtre le plus avancé de notre système VAC et intervient en atténuant les attaques les plus avancées (y compris, mais sans s’y limiter : authentification handshake TCP/SYN/cookie, détection des zombies, atténuation des floods TCP/UDP/GRE/AH/ESP/... et autres).

Anti-DDOS_shield_armor

Prêt à commencer ?

Créez un compte et lancez vos services dans la minute.

En savoir plus sur la mitigation

Qu’est-ce que la mitigation ?

Le processus de mitigation est le centre d’épuration automatique d’OVHcloud. Notre technologie avancée examine en profondeur les paquets, éliminant le trafic malveillant (DDoS ou autres vulnérabilités connues) tout en laissant passer le trafic légitime.

Puis-je obtenir une mitigation permanente ?

Par définition, vos services sont toujours protégés grâce à la mitigation automatique (détection permanente), qui s’active en quelques secondes dès qu’une attaque est détectée. En activant la mitigation permanente, vous appliquez constamment un premier niveau de filtrage par le biais de notre matériel Shield, ainsi qu’avec les règles de filtrage que vous avez définies dans Edge Firewall Network. Si la mitigation automatique est déclenchée, toutes les étapes du VAC seront impliquées. Il est important de souligner que, pour des raisons de sécurité et de disponibilité du service, seuls les serveurs de notre gamme de jeux disposent d’une analyse approfondie des paquets (protection DDoS des jeux) activée en permanence. Nos autres solutions peuvent également recourir à la mitigation permanente : il vous suffit de l’activer à partir de votre espace client OVHcloud.

Qu’est-ce que le VAC ?

Le VAC fait partie des principaux éléments de notre infrastructure anti-DDoS. Il s’agit d’une combinaison de différentes technologies qui ne cessent d’être développées par OVHcloud et conçues pour atténuer les attaques DDoS. Le VAC permet de filtrer le trafic entrant afin que seuls les paquets de données légitimes puissent atteindre votre serveur, tandis que le trafic illégitime est bloqué. Le VAC comprend Edge Firewall Network et les composants Shield and Armor.

Puis-je personnaliser Edge Firewall Network (EFN) ?

Oui, vous pouvez créer des règles de filtrage soit depuis votre espace client OVHcloud, soit via une API. Vous pouvez définir des règles d’autorisation et de refus basées sur des protocoles spécifiques. Ces règles seront automatiquement appliquées si Edge Firewall Network est actif ou si la mitigation automatique est déclenchée. De cette façon, vous pouvez décharger le pare-feu iptables de votre serveur vers la périphérie du réseau, ce qui protège le lien réseau de la saturation. Pour plus d’informations sur la configuration d’Edge Firewall Network, consultez le guide suivant : Configurer le Firewall Network.

Comment puis-je savoir si mon service a été attaqué par DDoS ?

Lorsqu’une attaque est détectée sur vos services, vous recevez une notification par e-mail. Vous pouvez suivre l’évolution de la situation via votre espace client OVHcloud, qui vous fournira des statistiques. De même, lorsque l’attaque est terminée, nous vous en informons par un autre e-mail. Si vous pensez que vos services ont été ciblés par une attaque DDoS et que vos utilisateurs subissent une dégradation des performances, n’hésitez pas à contacter l’équipe de support OVHcloud, qui pourra examiner la situation.