Anti-DDoS >


Mitigation DDoS




Mitigation de l’attaque DDoS



Bloquer l'attaque, laisser passer le trafic légitime


La mitigation est un terme qui est employé pour désigner des moyens et des mesures mises en place pour atténuer les effets négatifs liés à un risque. Pour résister aux attaques DDoS, la mitigation consiste à filtrer le trafic non légitime et à l’aspirer via le VAC, laissant ainsi passer tous les paquets légitimes.


Le VAC est composé de plusieurs équipements qui assurent chacun une fonction spécifique afin de bloquer un ou plusieurs types d'attaque (DDoS, Flood, etc.). En fonction de l’attaque, une ou plusieurs stratégies de défense peuvent être mises en place sur chacun des équipements qui composent le VAC.



Les composants du VAC

Routeurs
Backbone
Routeurs
Datacentre


Les actions réalisées sur Pre-Firewall :


  • Fragment UDP ;
  • Taille des paquets ;
  • Autorisation de protocoles TCP, UDP, ICMP, GRE ;
  • Blocage de tous les autres protocoles.

Les actions réalisées sur Firewall Network :


  • Autoriser/bloquer une IP ou un sous-réseau d'IPs ;
  • Autoriser/bloquer un protocole  :
    • IP (tous les protocoles) ;
    • TCP ;
    • UDP ;
    • ICMP ;
    • GRE.
  • Autoriser/bloquer un port ou un intervalle de port TCP ou UDP ;
  • Autoriser/bloquer les SYN/TCP ;
  • Autoriser/bloquer tous les paquets autre que SYN/TCP.


Les actions réalisées sur Tilera :


  • En-tête IP malformée ;
  • Checksum IP incorrect ;
  • Checksum UDP incorrect ;
  • Limitation ICMP ;
  • Datagramme UDP mal fragmenté ;
  • DNS Amp.

Les actions réalisées sur Arbor :


  • En-tête IP malformée ;
  • Fragment incomplet ;
  • Checksum IP incorrect ;
  • Fragment dupliqué ;
  • Fragment trop long ;
  • Paquet IP / TCP / UDP / ICMP trop court ;
  • Checksum TCP/UDP incorrect ;
  • Flags TCP invalides ;
  • Numéro de séquence invalide ;
  • Détéction de zombie ;
  • Authentification TCP SYN ;
  • Authentification DNS ;
  • Requête DNS mal formée ;
  • Limitation DNS.