Prévention des dénis de service dans les réseaux publics : Prévention des attaques de dénis de service

1.1 - Différents types d’attaques de dénis de service
1.2 - Situation actuelle des attaques
1.3 - Évolutions futures

2 - Prévention des attaques de dénis de service

2.1 - Différentes phases de prévention
2.2 - Filtrage

Tableau 1
2.3 - Redirection des attaques

Figure 6 - Phases de redirection Figure 7 - Approche Centertrack
2.4 - Traçage des attaques
2.5 - Nouvelles approches de traçage

Présentation

Auteur(s)

Olivier PAUL : Docteur ès sciences - Maître de Conférence à l’Institut National des Télécommunications

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

INTRODUCTION

Par attaque de dénis de service, on entend toute attaque qui permet d’utiliser ou de réserver sur un équipement réseau une quantité de ressources (mémoire, temps, CPU, bande passante...) telle que l’accès de clients légitimes aux services fournis par l’équipement soit devient impossible, soit se produit dans des conditions tellement dégradées qu’elles ne peuvent satisfaire le client. Plusieurs causes peuvent aboutir à cette conséquence et la mise au point de méthodes permettant d’identifier ces causes est encore un sujet de recherche ouvert.

On peut distinguer, parmi les types d’attaque existants, les attaques directes, formes les plus simples où l’attaquant émet des requêtes vers la victime. Dans les attaques distribuées, l’attaquant utilise des ordinateurs esclaves qu’il contrôle à distance. Enfin, l’utilisation de déflecteurs permet à l’attaquant d’ajouter un degré d’indirection.

Comme les attaques de dénis constituent un risque majeur pour tout équipement connecté sur Internet, il est important d’implémenter des techniques de prévention, détection, traçage et suppression des attaques dans le réseau. Les approches par filtrage permettent de limiter la capacité des attaquants à effectuer des usurpations d’adresses. Ces techniques peuvent être complétées par des techniques de redirection et de traçage des attaques afin d’en limiter leur impact et de trouver leurs sources. Enfin, de nouvelles techniques font l’objet de recherches et d’innovation.

La sélection d’une technique de prévention dépend notamment des contraintes techniques provenant du réseau existant, du type de client et du type d’attaque que l’on souhaite prévenir.

Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ? Se connecter

VERSIONS

Il existe d'autres versions de cet article :

Version archivée 2 de avr. 2012 par Olivier PAUL

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5810

Lecture en cours
Présentation

Page
suivante

Choix d’une technique de prévention

Article inclus dans l'offre

"Technologies logicielles Architectures des systèmes"

(237 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

2. Prévention des attaques de dénis de service

2.1 Différentes phases de prévention

Comme les attaques de dénis de service constituent un risque majeur pour tout équipement connecté à l’Internet, il est important d’implémenter (mettre en œuvre) des techniques dans le réseau afin de limiter la capacité d’attaquant à réaliser des attaques. Ces techniques peuvent servir un ou plusieurs objectifs tels que :

empêcher l’usurpation d’adresses ;
trouver l’identité de l’utilisateur d’un équipement connecté au réseau en traçant les paquets, flux ou agrégats de flux dans le réseau lorsque des adresses usurpées sont utilisées ;
contrôler la bande passante accordée aux flux ou agrégats de flux ;
détecter les famines en terme de ressources ainsi que les surréservations.

Afin d’atteindre ces objectifs, une stratégie cohérente de lutte contre les dénis de service combine plusieurs des techniques présentées dans ce paragraphe 2 afin de couvrir quatre phases essentielles. Ces quatre phases sont présentées en figure 4.

La phase de prévention consiste à prendre des mesures permettant de prévenir ou de limiter l’effet des attaques avant qu’elles ne se produisent.

La phase de détection consiste à indiquer lorsqu’une attaque se produit qu’une attaque est en cours et quel est le type d’attaque. La détection peut être suivie immédiatement d’une phase de suppression afin de supprimer les effets locaux du dénis de service mais la signature de l’attaque n’est généralement pas suffisamment précise pour permettre de supprimer l’attaque localement sans perturber le trafic de clients légitimes.

La phase de traçage permet de trouver soit l’origine du trafic générant le dénis de service, soit une approximation de celle-ci. Le résultat du traçage peut être utilisé pour supprimer l’attaque.

La phase de suppression est l’objectif final du processus de prévention. Elle peut se baser sur une action technique au niveau du réseau (par exemple, bloquer les communications correspondant au dénis de service), soit sur des actions non techniques...

Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.