Seidor
AWS

20 mars 2024

Comment réduire le risque d'attaques DDoS sur AWS

Le 10 novembre 2016, une cyberattaque à grande échelle a eu lieu. Elle consistait en de multiples dénis de service sur un fournisseur DNS bien connu (Dyn). Cette attaque a rendu les services Internet inaccessibles aux utilisateurs du monde entier et à des entreprises connues telles que Twitter, eBay et Spotify. L'attaque a été menée par un botnet qui comprenait des imprimantes sur Internet, des réfrigérateurs intelligents et des moniteurs pour bébés.

Qu'est-ce qu'une attaque par déni de service ?

Les attaques par déni de service (DoS) et déni de service distribué (DDoS) sont des tentatives malveillantes visant à perturber les opérations normales du serveur, du service ou du réseau attaqué, en le surchargeant avec un flot de trafic Internet.

Combien de temps peut durer une telle attaque ?

La durée d'une attaque DDoS varie. Selon un rapport de Radware, 33 % de ces interruptions durent une heure, 60 % durent moins d'une journée complète et 15 % durent jusqu'à un mois. Une attaque de ce type a pour objectif de rendre un serveur, un service ou une infrastructure indisponible. Pendant une attaque DDoS, de multiples requêtes sont envoyées simultanément depuis différents points du réseau. L'intensité de ce « feu croisé » compromet la stabilité et, parfois, la disponibilité du service.

Comment gérer les attaques DDoS ?

Évolutivité – AWS propose Route 53, qui est hébergé dans plusieurs emplacements situés aux extrémités du globe, créant une surface globale capable d'absorber de grandes quantités de trafic DNS. Amazon CloudFront et AWS Web Application Firewall sont également capables de gérer de grandes quantités de trafic.

Tolérance aux pannes – Chaque emplacement dispose de nombreuses connexions à Internet. Cela permet la multiplicité des routes isolant ainsi les pannes. Route 53 utilise le « shuffle sharding » et le « anycast striping » pour augmenter la disponibilité. Avec le shuffle sharding, chaque DNS dans votre délégation correspond à un ensemble unique d'emplacements. Cela augmente la tolérance aux pannes et minimise le chevauchement entre les consommateurs d'AWS. Si un serveur n'est pas disponible, le système client redirigera la réponse vers un autre serveur dans un autre emplacement. Avec l'anycast striping, les requêtes sont dirigées vers les DNS les mieux situés. Cela répartit la charge et réduit la latence DNS.

Atténuation – AWS Shield Standard nous protège contre 96 % des attaques courantes. Cela inclut les « SYN / ACK floods » et les « HTTP Slow read ». Le service standard est automatiquement et de manière transparente intégré aux équilibreurs de charge, aux distributions CloudFront, à AWS WAF et à Route 53 sans coût supplémentaire. AWS Shield Advanced inclut une protection supplémentaire pour atténuer les attaques DDoS, un accès 24×7 à une équipe responsable des DDoS et des métriques et rapports en temps réel.

En conclusion

Les attaques par déni de service peuvent affecter tout type d'entreprise, mais les conséquences varieront beaucoup en fonction des mesures de prévention prises par chacune. Si ces mesures sont correctes, les conséquences de l'attaque seront imperceptibles, mais en revanche, si les mesures de prévention sont peu nombreuses ou quasi inexistantes, le site web peut rester inopératif pendant toute la durée de l'attaque.

Enfin, ce type d'attaques trouve souvent son origine dans des systèmes obsolètes, car ceux-ci sont essentiellement plus vulnérables.