Cela montre que le nombre d’attaques DDoS augmente car elles sont utilis\u00e9es contre les entreprises et les institutions gouvernementales pour mener des cyberattaques. Par exemple, Cloudflare a signal\u00e9<\/a> une augmentation des attaques DDoS apr\u00e8s le d\u00e9but de la guerre entre Isra\u00ebl et le Hamas.<\/p>\n Les attaques DDoS peuvent frapper \u00e0 tout moment et visent \u00e0 submerger un serveur, un service ou un r\u00e9seau avec un trafic Internet excessif, perturbant ainsi le fonctionnement normal de l’entreprise.<\/p>\n Les auteurs d’attaques DDoS utilisent souvent des botnets, des r\u00e9seaux d’ordinateurs compromis, connus sous le nom de \u00ab zombies \u00bb ou \u00ab bots \u00bb Ces robots sont g\u00e9n\u00e9ralement infect\u00e9s par des logiciels malveillants et contr\u00f4l\u00e9s \u00e0 distance par l’attaquant.<\/p>\n Lorsque l’attaquant lance une attaque DDoS, il ordonne \u00e0 tous les bots du r\u00e9seau d’envoyer un volume massif de requ\u00eates au serveur ou au r\u00e9seau cible. Cet afflux massif de trafic d\u00e9passe la capacit\u00e9 du serveur \u00e0 traiter les requ\u00eates l\u00e9gitimes, ce qui provoque un ralentissement ou une panne compl\u00e8te.<\/p>\n Il existe trois types d’attaques DDoS<\/a>:<\/p>\n La pr\u00e9vention des attaques DDoS n\u00e9cessite une approche strat\u00e9gique et multicouche. En combinant plusieurs m\u00e9thodes, vous pouvez prot\u00e9ger efficacement votre r\u00e9seau et vos applications.<\/p>\n Voici cinq m\u00e9thodes qui peuvent vous aider \u00e0 pr\u00e9venir les attaques DDoS :<\/p>\n Commencez par limiter le nombre de requ\u00eates qu’un utilisateur peut adresser \u00e0 votre serveur dans un laps de temps donn\u00e9. Par exemple, si vous g\u00e9rez une boutique en ligne, vous pouvez configurer votre serveur pour qu’il n’autorise que 10 requ\u00eates par seconde de la part de n’importe quel utilisateur. Vous \u00e9viterez ainsi qu’un seul client ne submerge votre serveur d’un trop grand nombre de requ\u00eates \u00e0 la fois.<\/p>\n Utilisez ensuite un pare-feu d’application web<\/a> (WAF). Un WAF agit comme un point de contr\u00f4le de s\u00e9curit\u00e9, en inspectant le trafic entrant et en bloquant les requ\u00eates nuisibles tout en laissant passer les requ\u00eates l\u00e9gitimes. Par exemple, si vous utilisez Cloudflare, son WAF peut filtrer le trafic malveillant sur la base de mod\u00e8les d’attaque connus. Il est essentiel de mettre r\u00e9guli\u00e8rement \u00e0 jour les r\u00e8gles de votre WAF pour faire face aux nouvelles menaces.<\/p>\n En outre, d\u00e9ployez des syst\u00e8mes de<\/a> d\u00e9tection<\/a> et de pr\u00e9vention des<\/a> intrusions<\/a> (IDPS). Ces syst\u00e8mes sont comme des cam\u00e9ras de s\u00e9curit\u00e9 pour votre r\u00e9seau, qui surveillent les activit\u00e9s suspectes et bloquent automatiquement tout ce qui est nuisible. Snort, par exemple, est un syst\u00e8me de d\u00e9tection et de pr\u00e9vention des intrusions (IDPS) open source tr\u00e8s r\u00e9pandu qui d\u00e9tecte et pr\u00e9vient les attaques.<\/p>\n L’utilisation d’une infrastructure \u00e9volutive et distribu\u00e9e permet de g\u00e9rer et d’att\u00e9nuer l’impact des attaques DDoS. Le routage du r\u00e9seau Anycast<\/a> est une excellente technique. Imaginez que vous ayez un blog populaire avec des lecteurs dans le monde entier. Le routage Anycast dirige le trafic entrant vers plusieurs centres de donn\u00e9es, de sorte que si vous \u00eates confront\u00e9 \u00e0 un trafic important, il est r\u00e9parti sur diff\u00e9rents sites, ce qui r\u00e9duit la charge sur un seul serveur.<\/p>\n Les \u00e9quilibreurs de charge sont un autre outil utile. Ils agissent comme des gendarmes du trafic, en dirigeant le trafic entrant vers plusieurs serveurs afin qu’aucun d’entre eux ne soit submerg\u00e9. Par exemple, AWS Elastic Load Balancing peut r\u00e9partir automatiquement le trafic sur plusieurs instances Amazon EC2.<\/p>\n Les r\u00e9seaux de diffusion de contenu (CDN), comme ceux d’Akamai ou de Cloudflare, peuvent \u00e9galement jouer un r\u00f4le important. Les CDN stockent des copies du contenu de votre site web sur des serveurs r\u00e9partis dans le monde entier. Si le trafic monte soudainement en fl\u00e8che, le CDN peut s’en charger en diffusant le contenu \u00e0 partir de plusieurs emplacements, r\u00e9duisant ainsi la charge sur votre serveur principal.<\/p>\n Les services sp\u00e9cialis\u00e9s de protection contre les attaques DDoS reviennent \u00e0 engager un garde du corps personnel pour votre site web. Ces services surveillent en permanence votre trafic et utilisent des techniques avanc\u00e9es pour filtrer le trafic nuisible. Par exemple, des services comme la protection DDoS de Cloudflare ou le bouclier AWS peuvent d\u00e9tecter et att\u00e9nuer les attaques en temps r\u00e9el.<\/p>\n Ces fournisseurs disposent d’infrastructures mondiales robustes qui peuvent faire face aux attaques les plus importantes. C’est comme si une \u00e9quipe d’experts en s\u00e9curit\u00e9 veillait en permanence sur votre site web.<\/p>\n Il est essentiel de garder un \u0153il sur votre trafic. Utilisez des outils d’analyse du trafic en temps r\u00e9el pour rep\u00e9rer toute anomalie. Par exemple, votre h\u00e9bergeur peut vous fournir des outils d’analyse<\/a> qui vous aideront \u00e0 surveiller les sch\u00e9mas de trafic et \u00e0 d\u00e9tecter les anomalies. Si vous constatez une augmentation soudaine du trafic en provenance d’une seule source, cela peut indiquer une attaque DDoS.<\/p>\n Mettez en place des alertes bas\u00e9es sur le d\u00e9bit pour vous avertir lorsque le trafic d\u00e9passe certaines limites. Par exemple, si votre trafic habituel est de 100 requ\u00eates par minute et qu’il passe soudainement \u00e0 10.000 requ\u00eates, vous recevrez une alerte. Des outils tels que Datadog peuvent vous aider \u00e0 mettre en place ces alertes et \u00e0 surveiller votre trafic en temps r\u00e9el.<\/p>\n Enfin, contr\u00f4lez qui peut acc\u00e9der \u00e0 votre r\u00e9seau. Mettez en place une liste de blocage des adresses IP pour bloquer les adresses IP malveillantes connues et une liste d’autorisation des adresses IP pour n’autoriser que les adresses de confiance. Par exemple, vous pouvez configurer votre serveur pour qu’il bloque le trafic provenant d’adresses IP signal\u00e9es par le pass\u00e9 pour des activit\u00e9s malveillantes.<\/p>\n Effectuez r\u00e9guli\u00e8rement des audits de s\u00e9curit\u00e9 pour trouver et corriger les vuln\u00e9rabilit\u00e9s. C’est comme un examen m\u00e9dical de routine pour s’assurer que vous \u00eates en bonne sant\u00e9. Des outils tels que Nessus peuvent vous aider \u00e0 analyser votre r\u00e9seau \u00e0 la recherche de faiblesses potentielles et \u00e0 vous assurer que vos d\u00e9fenses sont \u00e0 jour.<\/p>\n Votre h\u00e9bergeur peut jouer un r\u00f4le cl\u00e9 dans la protection de votre site contre les attaques DDoS. En fait, si vous utilisez un bon h\u00e9bergeur, il devrait prendre en charge toutes les techniques de pr\u00e9vention des attaques DDoS \u00e9num\u00e9r\u00e9es ci-dessus.<\/p>\n Chez Kinsta, nous nous engageons \u00e0 att\u00e9nuer toutes les attaques DDoS sur notre plateforme. Nous mettons en \u0153uvre des mesures de s\u00e9curit\u00e9 robustes pour pr\u00e9venir ces attaques, vous avertir imm\u00e9diatement si une attaque se produit et vous aider \u00e0 la repousser. De plus, nous effectuons des sauvegardes automatiques quotidiennes<\/a> de votre site WordPress afin de garantir la s\u00e9curit\u00e9 de vos donn\u00e9es.<\/p>\n Pour vous donner une image plus claire, nous avons demand\u00e9 \u00e0 certains de nos ing\u00e9nieurs en s\u00e9curit\u00e9, DevOps<\/a> et SysOps chez Kinsta comment nous pr\u00e9venons les attaques DDoS. Ils avaient beaucoup \u00e0 partager.<\/p>\n Un \u00e9l\u00e9ment crucial de notre effort pour fournir \u00e0 nos clients le plus haut niveau de s\u00e9curit\u00e9 est notre int\u00e9gration Premium-Tier avec Cloudflare. Cette int\u00e9gration strat\u00e9gique nous permet de g\u00e9rer et d’att\u00e9nuer efficacement les attaques DDoS, garantissant ainsi un service ininterrompu et une protection renforc\u00e9e pour nos utilisateurs.<\/p>\n Les statistiques fournies par l’\u00e9quipe DevOps montrent qu’au cours des 30 derniers jours (du 22 avril au 23 mai 2024), nous avons trait\u00e9 75,51 milliards de requ\u00eates via Cloudflare. Parmi celles-ci, 3,3 milliards ont \u00e9t\u00e9 att\u00e9nu\u00e9es par le Web Application Firewall (WAF) de Cloudflare, garantissant que les menaces potentielles n’atteignent jamais nos clients.<\/p>\n Nous avons \u00e9galement re\u00e7u des alertes pour 200 attaques DDoS, qui ont toutes \u00e9t\u00e9 automatiquement att\u00e9nu\u00e9es par Cloudflare. L’une des attaques les plus importantes que nous ayons subies r\u00e9cemment remonte au mois de mars, avec un pic de 318.930 requ\u00eates par seconde, que nous avons g\u00e9r\u00e9 de mani\u00e8re transparente avec Cloudflare.<\/p>\n Ces chiffres mettent en \u00e9vidence la robustesse de nos mesures de s\u00e9curit\u00e9, d\u00e9montrant la protection continue que nous fournissons \u00e0 nos clients et la valeur de notre int\u00e9gration Cloudflare Premium.<\/p>\n Historiquement, avant notre int\u00e9gration avec Cloudflare, nous devions g\u00e9rer toutes les attaques manuellement. Si l’attaque n’\u00e9tait pas trop importante, nous pouvions nous connecter en SSH aux \u00e9quilibreurs de charge (LB) et analyser le trafic \u00e0 l’aide d’outils tels que tcpdump<\/a> et Wireshark<\/a>. Sur la base de nos conclusions, nous bannissions des IP sp\u00e9cifiques ou cr\u00e9ions des r\u00e8gles iptables<\/a> cibl\u00e9es et des r\u00e8gles de pare-feu GCP pour att\u00e9nuer l’attaque.<\/p>\n Nous avons \u00e9galement redimensionn\u00e9 temporairement les instances LB pour g\u00e9rer la charge et modifi\u00e9 divers param\u00e8tres du noyau. Au fil du temps, nous avons automatis\u00e9 bon nombre de ces processus, en ex\u00e9cutant des scripts pour d\u00e9finir et d\u00e9sactiver les r\u00e8gles iptables et les param\u00e8tres du noyau en fonction des besoins. Si une attaque \u00e9tait trop intense, nous avons clon\u00e9 des LB et multipli\u00e9 les instances pour r\u00e9partir la charge.<\/p>\n Les attaques \u00e9tant de plus en plus fr\u00e9quentes et sophistiqu\u00e9es, nous avons int\u00e9gr\u00e9 Cloudflare \u00e0 notre infrastructure d’h\u00e9bergement afin de garantir la s\u00e9curit\u00e9 des sites de nos clients. Nous avons imm\u00e9diatement remarqu\u00e9 que moins d’attaques atteignaient nos serveurs.<\/p>\n Aujourd’hui, nous disposons de l’une des meilleures infrastructures d’h\u00e9bergement<\/a> pour repousser les attaques DDoS, gr\u00e2ce \u00e0 des outils int\u00e9gr\u00e9s, une \u00e9quipe d\u00e9di\u00e9e et notre int\u00e9gration avec Cloudflare.<\/p>\n Apr\u00e8s avoir int\u00e9gr\u00e9 Cloudflare, nous avons \u00e9limin\u00e9 les attaques de synchro de bas niveau car tout notre trafic web est achemin\u00e9 via Cloudflare. Cela fournit une protection DDoS (couches 3, 4 et 7) pour bloquer les connexions TCP\/UDP ind\u00e9sirables provenant d’adresses IP ou de r\u00e9seaux sp\u00e9cifiques \u00e0 la p\u00e9riph\u00e9rie de notre r\u00e9seau.<\/p>\n En outre, nous utilisons le pare-feu de Google Cloud Platform<\/a> (GCP) pour prot\u00e9ger notre r\u00e9seau contre les attaques potentielles qui touchent directement notre infrastructure.<\/p>\n Kinsta fournit un WAF enti\u00e8rement g\u00e9r\u00e9 avec des ensembles de r\u00e8gles et des configurations personnalis\u00e9es r\u00e9guli\u00e8rement mises \u00e0 jour, garantissant une protection continue contre les menaces les plus r\u00e9centes.<\/p>\n De plus, nous utilisons une fonction automatis\u00e9e qui d\u00e9tecte constamment les attaques par force brute sur le chemin \/wp-login.php<\/strong> de votre site. Nous bloquons alors ces acteurs de notre infrastructure, ce qui renforce encore nos mesures de s\u00e9curit\u00e9.<\/p>\n R\u00e9cemment, une soci\u00e9t\u00e9 financi\u00e8re a d\u00e9cid\u00e9 de choisir Kinsta comme nouveau fournisseur d’h\u00e9bergement. Nous \u00e9tions loin de nous douter qu’ils \u00e9taient au milieu d’une attaque DDoS massive sur leur ancien h\u00e9bergeur. Apr\u00e8s avoir \u00e9t\u00e9 mis en service chez Kinsta, le site web du client a \u00e9t\u00e9 imm\u00e9diatement bombard\u00e9 de millions de requ\u00eates provenant de diverses adresses IP, ce qui a entrain\u00e9 des perturbations importantes.<\/p>\n Le jour de la migration du site, tout semblait bien se passer avant la mise en ligne. Nous les avons aid\u00e9s \u00e0 r\u00e9soudre un probl\u00e8me li\u00e9 au th\u00e8me WordPress et ils ont commenc\u00e9 \u00e0 faire pointer leurs DNS vers Kinsta. Cependant, peu de temps apr\u00e8s, ils ont remarqu\u00e9 des statistiques de bande passante \u00e9tranges dans leurs analyses MyKinsta et nous ont contact\u00e9s, inquiets de ce trafic inhabituel.<\/p>\n Notre \u00e9quipe SysOps est rapidement entr\u00e9e en action, confirmant qu’une attaque DDoS \u00e9tait bien en cours. Le client nous a expliqu\u00e9 qu’il avait rencontr\u00e9 des probl\u00e8mes similaires avec son pr\u00e9c\u00e9dent h\u00e9bergeur, mais qu’il n’avait pas r\u00e9alis\u00e9 qu’il s’agissait d’une attaque DDoS. Il esp\u00e9rait que le passage \u00e0 Kinsta r\u00e9soudrait ses probl\u00e8mes de performance.<\/p>\n Pour rem\u00e9dier \u00e0 la situation, notre \u00e9quipe SysOps a travaill\u00e9 avec Cloudflare pour att\u00e9nuer l’attaque. Nous avons mis en place une r\u00e8gle WAF Cloudflare personnalis\u00e9e pour contester le trafic suspect et fournir une protection suppl\u00e9mentaire.<\/p>\n Tout au long de cette p\u00e9riode, le site web est rest\u00e9 accessible lors des tests effectu\u00e9s par notre \u00e9quipe de support. Cependant, le client a signal\u00e9 des probl\u00e8mes sur mobile, que nous avons ensuite retrac\u00e9s jusqu’\u00e0 un probl\u00e8me de propagation DNS caus\u00e9 par un ancien enregistrement AAAA.<\/p>\n \u00c0 la fin de la journ\u00e9e, l’attaque s’\u00e9tait calm\u00e9e. Les ensembles de r\u00e8gles DDoS g\u00e9r\u00e9s par Cloudflare ont pris en charge la majeure partie du trafic malveillant, att\u00e9nuant automatiquement plus de 516 millions de requ\u00eates. Notre r\u00e8gle WAF personnalis\u00e9e a fourni une s\u00e9curit\u00e9 suppl\u00e9mentaire, garantissant que le site du client reste op\u00e9rationnel.<\/p>\n En seulement 27 minutes, nous avons att\u00e9nu\u00e9 une attaque avec un taux moyen de 350.000 requ\u00eates par seconde. Cela d\u00e9montre comment un fournisseur d’h\u00e9bergement exceptionnel peut pr\u00e9venir les attaques DDoS gr\u00e2ce \u00e0 une surveillance rigoureuse, un support expert et des mesures de s\u00e9curit\u00e9 avanc\u00e9es.<\/p>\n Du suivi de la bande passante et des analyses dans le tableau de bord MyKinsta<\/a> \u00e0 l’engagement avec les \u00e9quipes de support<\/a>, en passant par la personnalisation des r\u00e8gles WAF par des experts et l’utilisation d’une infrastructure solide, un fournisseur d’h\u00e9bergement fiable comme Kinsta peut repousser la plupart des attaques et assurer la s\u00e9curit\u00e9 de votre site.<\/p>\n Cet article a explor\u00e9 comment vous et un h\u00e9bergeur de qualit\u00e9 pouvez travailler ensemble pour att\u00e9nuer les attaques DDoS, en veillant \u00e0 ce que votre site reste s\u00e9curis\u00e9 et op\u00e9rationnel.<\/p>\n Au-del\u00e0 des attaques DDoS, l’infrastructure de Kinsta offre une protection solide contre toutes les formes de cyberattaques<\/a>. Chaque site sur notre plateforme fonctionne dans un conteneur logiciel isol\u00e9<\/a>, garantissant une confidentialit\u00e9 \u00e0 100 % et aucun partage de ressources logicielles ou mat\u00e9rielles, m\u00eame entre vos propres sites.<\/p>\nComment fonctionnent les attaques DDoS<\/h2>\n
\n
Comment pr\u00e9venir les attaques DDoS<\/h2>\n
1. Mettez en place une protection du r\u00e9seau et des applications<\/h3>\n
2. Tirez parti d’une infrastructure \u00e9volutive et distribu\u00e9e<\/h3>\n
3. Utilisez des services sp\u00e9cialis\u00e9s de protection contre les attaques DDoS<\/h3>\n
4. Surveillez les anomalies de trafic et r\u00e9agissez-y<\/h3>\n
5. Mettez en place un contr\u00f4le d’acc\u00e8s rigoureux et des audits r\u00e9guliers<\/h3>\n
Comment Kinsta pr\u00e9vient les attaques DDoS<\/h2>\n
Renforcer la s\u00e9curit\u00e9 de Kinsta gr\u00e2ce \u00e0 l’int\u00e9gration de Cloudflare<\/h3>\n
L’infrastructure actuelle d’att\u00e9nuation des attaques DDoS de Kinsta<\/h3>\n
![\"Architecture](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/kinsta-hosting-architecture.png\")
Comment nous avons att\u00e9nu\u00e9 une attaque DDoS massive pour un client du secteur financier<\/h2>\n
![\"Analyse](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/mykinsta-analytics.png\")
![\"L'infrastructure](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/waf-mitigation.png\")
R\u00e9sum\u00e9<\/h2>\n