Présentation
RÉSUMÉ
Les attaques de dénis de service font partie d’une des classes d’attaques les plus courantes. Cet article fait le point sur ce sujet.
Après avoir donné une taxonomie des attaques existantes, sont donnés quelques chiffres caractérisant les attaques actuelles. Puis, démonstration est donnée que les architectures actuelles de lutte contre les dénis de service s’organisent suivant un certain nombre de phases. Diverses techniques associées y sont ensuite indiquées.
Pour finir, le lecteur trouvera quelques méthodes de mise en œuvre, allant de l’utilisation des équipements déjà présents dans un réseau à la sous-traitance auprès d’un service de protection de type « cloud », et en passant par l’emploi d’équipements spécialisés.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Olivier PAUL : Docteur en sciences - Maître de conférences, Telecom Sud Paris
INTRODUCTION
Pes attaques de dénis de service font partie depuis plus d'une dizaine d'années d'une des classes d'attaques les plus courantes. Cet article fait le point sur ce sujet.
Après une taxonomie des attaques existantes, sont donnés quelques chiffres caractérisant les attaques actuelles. Par la suite, il est montré que les architectures actuelles de lutte contre les dénis de service s'organisent suivant un certain nombre de phases et certaines des techniques associées y sont décrites.
Pour finir, on aborde quelques méthodes de mise en œuvre, allant de l'utilisation des équipements déjà présents dans un réseau, à la sous-traitance auprès d'un service de protection de type « cloud », en passant par l'emploi d'équipements spécialisés.
L'expertise technique et scientifique de référence
MOTS-CLÉS
sécurité informatique réseau internet informatique télécommunications dénis de service DoS réseaux publics
VERSIONS
- Version archivée 1 de août 2003 par Olivier PAUL
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(80 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Choix d'une technique de prévention2. Prévention des attaques de dénis de service
2.1 Différentes phases de protection
Comme les attaques de dénis de service constituent un risque majeur pour tout équipement connecté à l'Internet, il est important de mettre en œuvre des techniques dans le réseau afin de limiter la capacité des attaquants à réaliser ces attaques. Ces techniques de protection peuvent servir un (ou plusieurs) objectifs tels que :
-
empêcher l'usurpation d'adresses ;
-
trouver l'identité d'un équipement générant du trafic d'attaque en retrouvant la trace des paquets, flux ou agrégats de flux dans le réseau ;
-
contrôler la bande passante accordée aux flux ou agrégats de flux ;
-
détecter les famines en termes de ressources, ainsi que les surréservations ;
-
éliminer le trafic clairement dangereux en termes de DoS.
Afin d'atteindre ces objectifs, une stratégie cohérente de lutte contre les dénis de service combine plusieurs des techniques présentées ici afin de couvrir quatre phases essentielles (figure 4). Ces phases, ainsi que leur ordonnancement, sont compatibles avec les processus standards de gestion des incidents tels que les recommandations du NIST .
-
Phase de prévention
Elle consiste à prendre des mesures permettant de prévenir, ou de limiter, l'effet des attaques avant qu'elles ne se produisent.
-
Phase de détection
Toutes les attaques ne pouvant être empêchées au travers de mécanismes de prévention, la phase de détection consiste à déterminer à quel moment une attaque se produit et quel est son type. Cette phase aboutit généralement à une description de l'attaque permettant, dans une certaine mesure, de différencier le trafic appartenant à l'attaque du trafic légitime.
La détection peut être suivie immédiatement d'une phase de suppression afin de supprimer les effets locaux du déni de service. Mais, la signature de l'attaque n'est pas toujours suffisamment précise pour permettre de supprimer l'attaque localement sans perturber le trafic...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(80 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Prévention des attaques de dénis de service
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(80 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
