| Réf : H5810 v1

Choix d’une technique de prévention
Prévention des dénis de service dans les réseaux publics

Auteur(s) : Olivier PAUL

Date de publication : 10 août 2003

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Auteur(s)

  • Olivier PAUL : Docteur ès sciences - Maître de Conférence à l’Institut National des Télécommunications

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

INTRODUCTION

Par attaque de dénis de service, on entend toute attaque qui permet d’utiliser ou de réserver sur un équipement réseau une quantité de ressources (mémoire, temps, CPU, bande passante...) telle que l’accès de clients légitimes aux services fournis par l’équipement soit devient impossible, soit se produit dans des conditions tellement dégradées qu’elles ne peuvent satisfaire le client. Plusieurs causes peuvent aboutir à cette conséquence et la mise au point de méthodes permettant d’identifier ces causes est encore un sujet de recherche ouvert.

On peut distinguer, parmi les types d’attaque existants, les attaques directes, formes les plus simples où l’attaquant émet des requêtes vers la victime. Dans les attaques distribuées, l’attaquant utilise des ordinateurs esclaves qu’il contrôle à distance. Enfin, l’utilisation de déflecteurs permet à l’attaquant d’ajouter un degré d’indirection.

Comme les attaques de dénis constituent un risque majeur pour tout équipement connecté sur Internet, il est important d’implémenter des techniques de prévention, détection, traçage et suppression des attaques dans le réseau. Les approches par filtrage permettent de limiter la capacité des attaquants à effectuer des usurpations d’adresses. Ces techniques peuvent être complétées par des techniques de redirection et de traçage des attaques afin d’en limiter leur impact et de trouver leurs sources. Enfin, de nouvelles techniques font l’objet de recherches et d’innovation.

La sélection d’une technique de prévention dépend notamment des contraintes techniques provenant du réseau existant, du type de client et du type d’attaque que l’on souhaite prévenir.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5810


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

3. Choix d’une technique de prévention

Nous avons présenté dans cet article les principales techniques de prévention de dénis de service mises en œuvre dans le cas de réseaux publics. Nous avons également montré quelles étaient les évolutions envisagées pour les techniques actuelles. Une question que l’on peut se poser est comment sélectionner une méthode de prévention parmi celles que nous avons présentées.

Le principal critère de sélection d’une technique de prévention est généralement lié aux contraintes techniques provenant du réseau existant. De nombreux routeurs présents aujourd’hui dans les réseaux ne sont pas capables d’implémenter toutes les techniques que nous avons présentées soit par le fait que les équipements physiques ne supportent pas de telles fonctions, soit par le fait que le système d’exploitation ne les fournit pas.

Le tableau 2 présente un résumé des différentes techniques abordées dans ce document et précise leurs points potentiels d’application à la fois en terme de phase de lutte contre les attaques et en terme d’équipements utilisés. Dans ce tableau, les équipements d’interconnexion de clients sont notés PE (Provider Edge ) et CE (Customer Edge ) pour les routeurs de bordure respectivement localisés chez l’opérateur et le client. Les équipements de cœur de réseau sont notés P (Provider ) et PP (Provider peering Point ) pour désigner respectivement les routeurs simples de cœur et les routeurs d’interconnexion entre opérateurs.

Exemple

les routeurs PE et CPE pourraient être implantés au moyen de routeurs Cisco série 7000 ou Juniper séries E ou M tandis que les routeurs P et PP pourraient être implantés au moyen de routeurs Cisco série 12000 ou Juniper série T.

Il est à noter que la compatibilité entre ces fonctions et les équipements ou versions de logiciel utilisés par ceux‐ci est généralement fournie par les constructeurs. Par ailleurs, la plupart des constructeurs proposent à leurs utilisateurs des guides indiquant comment mettre en œuvre ces techniques. D’autres équipements sont capables d’implémenter ces fonctions mais en provoquant des ralentissements inacceptables. D’autre limitations proviennent des protocoles mis en œuvre dans le réseau et de l’emplacement dans le réseau des équipements utilisant ces protocoles.

La...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Choix d’une technique de prévention
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - MOORE (D.), VOELKER (G.), SAVAGE (S.) -   Inferring Internet Denial of Service Activity,  -  2001 USENIX Security Symposium, août 2001.

  • (2) - GIBSON (S.) -   The Strange Tale of the Distributed Denial of Service Attacks Against GRC.COM.  -   Disponible sur grc.com/dos/ grcdos.htm, juil. 2001.

  • (3) - PAXSON (V.) -   An Analysis of Using Reflectors for distributed Denial of Service Attacks.  -  Computer Communication Review, juil. 2001.

  • (4) - HOULE (K.), WEAVER (G.) -   Trends in Denial of Service Attack Technology.  -  CERT Coordination Center, oct. 2001.

  • (5) - FERGUSON (P.), SENIE (D.) -   *  -  RFC 2827, Network Ingress Filtering, Defeating Denial of Service Attacks which employ IP address spoofing, mai 2000.

  • (6) - Cisco Systems -   *  -  Unicast Reverse Path Forwarding (2000).

  • ...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS