Anti-DDoS >


La protection anti DDoS par OVH




Qu’est-ce que la protection anti-DDoS ?



Fonctionnement d’une attaque DDoS


Les chances d’être confronté à une attaque DDoS sont importantes et les tentatives nombreuses.


Une attaque DDoS vise à rendre un serveur, un service ou une infrastructure indisponibles en surchargeant la bande passante du serveur, ou en accaparant ses ressources jusqu'à épuisement.


Lors d'une attaque DDoS, une multitude de requêtes sont envoyées simultanément, depuis de multiples points du Net. L'intensité de ce "tir croisé" rend le service instable, ou pire, indisponible.



Ce que nous proposons pour protéger vos services



Pour protéger vos services et serveurs des attaques, OVH propose une solution de mitigation basée sur la technologie VAC. Il s’agit d’une combinaison exclusive de techniques pour :


  • Analyser en temps réel et à haute vitesse tous les paquets ;
  • Aspirer le trafic entrant de votre serveur ;
  • Mitiger, c'est à dire repérer tous les paquets IP non légitimes, tout en laissant passer les paquets IP légitimes.


Cibles et types d’attaques



Pour rendre indisponibles votre site, serveur ou infrastructure, il existe trois stratégies :


  • Bande passante : catégorie d'attaque consistant à saturer la capacité réseau du serveur, le rendant ainsi injoignable.
  • Ressources : catégorie d'attaque consistant à épuiser les ressources système de la machine l'empêchant ainsi de répondre aux requêtes légitimes.
  • Exploitation de faille logicielle : aussi appelée "exploit", catégorie d'attaque ciblant une faille logicielle particulière afin de rendre votre machine indisponible, ou d'en prendre le contrôle.


Nom de l'attaque Niveau OSI Type d'attaque Explications du principe de l'attaque
ICMP Echo Request Flood L3 Ressources Aussi appelé Ping Flood, envoi massif de paquets (ping) impliquant la réponse de la victime (pong) ayant le même contenu que le paquet d'origine.
IP Packet Fragment Attack L3 Ressources Envoi de paquets IP référençant volontairement d'autres paquets qui ne seront jamais envoyés, saturant ainsi la mémoire de la victime.
SMURF L3 Bande Passante Attaque ICMP en broadcast usurpant l'adresse source pour rediriger les multiples réponses vers la victime
IGMP Flood L3 Ressources Envoi massif de paquets IGMP (protocole de gestion du multicast)
Ping of Death L3 Exploit Envoi de paquets ICMP exploitant un bogue d'implémentation dans certains systèmes d'exploitation
TCP SYN Flood L4 Ressources Envoi massif de demandes de connexion TCP
TCP Spoofed SYN Flood L4 Ressources Envoi massif de demandes de connexion TCP en usurpant l'adresse source
TCP SYN ACK Reflection Flood L4 Bande passante Envoi massif de demandes de connexion TCP vers un grand nombre de machines, en usurpant l'adresse source par l'adresse de la victime. La bande passante de la victime sera saturée par les réponses à ces requêtes.
TCP ACK Flood L4 Ressources Envoi massif d'accusés de réception de segments TCP
TCP Fragmented Attack L4 Ressources Envoi de segments TCP référençant volontairement d'autres segments qui ne seront jamais envoyés, saturant ainsi la mémoire de la victime
UDP Flood L4 Bande Passante Envoi massif de paquets UDP (ne nécessitant pas d'établissement de connexion préalable)
UDP Fragment Flood L4 Ressources Envoi de datagrammes UDP référençant volontairement d'autres datagrammes qui ne seront jamais envoyés, saturant ainsi la mémoire de la victime
Distributed DNS Amplification Attack L7 Bande Passante Envoi massif de requêtes DNS usurpant l'adresse source de la victime, vers un grand nombre de serveurs DNS légitimes. La réponse étant plus volumineuse que la question, s'ensuit une amplification de l'attaque
DNS Flood L7 Ressources Attaque d'un serveur DNS par l'envoi massif de requêtes
HTTP(S) GET/POST Flood L7 Ressources Attaque d'un serveur web par l'envoi massif de requêtes
DDoS DNS L7 Ressources Attaque d'un serveur DNS par l'envoi massif de requêtes depuis un grand ensemble de machines contrôlées par l'attaquant