Anti-DDoS >


Analyse d'une attaque DDoS




L'analyse du trafic et détection des attaques



Détecter l'attaque



Pour détecter l'attaque, nous utilisons le netflow qui est envoyé par les routeurs et analysé par les boîtiers Arbor PeakFlow. Chaque routeur transmet un résumé de 1/2000 du trafic qui le traverse réellement. Les boîtiers Arbor PeakFlow analysent ce résumé et le comparent aux signatures des attaques. Si la comparaison est positive, la mitigation se met en place en quelques secondes.

Les signatures analysées se basent sur les seuils de trafic en "paquet par seconde" (pps, Kpps, Mpps, Gpps) ou "octets par secondes" (bps, Kbps, Mbps, Gbps) sur un certain type de paquets comme:


  • DNS;
  • ICMP;
  • Fragment IP;
  • IP invalide;
  • IP Privée;
  • TCP NULL;
  • TCP RST;
  • TCP SYN;
  • UDP;
  • Total Traffic.

Étant donné qu'il est nécessaire que certains seuils soient declenchés et que seulement 1/2000 du trafic réel est analysé, la mise en place de la mitigation peut prendre entre 15 et 120 secondes.