| Réf : H5810 v2

Choix d'une technique de prévention
Prévention des dénis de service dans les réseaux publics

Auteur(s) : Olivier PAUL

Date de publication : 10 avr. 2012

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

Les attaques de dénis de service font partie d’une des classes d’attaques les plus courantes. Cet article fait le point sur ce sujet.

Après avoir donné une taxonomie des attaques existantes, sont donnés quelques chiffres caractérisant les attaques actuelles. Puis, démonstration est donnée que les architectures actuelles de lutte contre les dénis de service s’organisent suivant un certain nombre de phases. Diverses techniques associées y sont ensuite indiquées.

Pour finir, le lecteur trouvera quelques méthodes de mise en œuvre, allant de l’utilisation des équipements déjà présents dans un réseau à la sous-traitance auprès d’un service de protection de type « cloud », et en passant par l’emploi d’équipements spécialisés.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Denial of service attacks are currently one of the major threats faced by companies on the Internet. This document attempts to perform a roundup of the material available on the subject.

We first provide a taxonomy of DoS attacks as well as some figures regarding their prevalence in today’s networks. After showing that existing DoS mitigation architectures are organized into a few distinct phases, we describe some of the techniques associated with these phases.

We conclude this study by giving some implementation strategies ranging from the sole use of existing network equipment to the subcontracting to external « cloud » like service providers

Auteur(s)

  • Olivier PAUL : Docteur en sciences - Maître de conférences, Telecom Sud Paris

INTRODUCTION

Pes attaques de dénis de service font partie depuis plus d'une dizaine d'années d'une des classes d'attaques les plus courantes. Cet article fait le point sur ce sujet.

Après une taxonomie des attaques existantes, sont donnés quelques chiffres caractérisant les attaques actuelles. Par la suite, il est montré que les architectures actuelles de lutte contre les dénis de service s'organisent suivant un certain nombre de phases et certaines des techniques associées y sont décrites.

Pour finir, on aborde quelques méthodes de mise en œuvre, allant de l'utilisation des équipements déjà présents dans un réseau, à la sous-traitance auprès d'un service de protection de type « cloud », en passant par l'emploi d'équipements spécialisés.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

computer security   |   internet network   |   computer science   |   telecommunications   |   Denial of Service   |   Denial of Service   |   public network

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-h5810


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais En anglais

3. Choix d'une technique de prévention

Parmi les solutions existantes uniquement liées à la prévention des attaques de déni de service, il existe aujourd'hui plusieurs voies.

  • Mise en œuvre d'une solution autonome

    Soit au travers des équipements déjà présents dans le réseau, soit au travers de l'achat de solutions spécialisées. Les deux approches peuvent être mises en œuvre dans le cas d'entreprises ayant des réseaux importants, d'opérateurs réseaux ou de grands fournisseurs de contenus.

    La première solution est valable dans le cas d'un service et d'investissements minimaux, alors que la seconde est plus coûteuse et est donc surtout valable lorsqu'un service de meilleure qualité doit être fourni.

  • Utilisation d'un service de protection externe

    Soit dont le coût est intégré dans le coût d'accès au réseau, soit au travers d'un service complémentaire. Ce service peut être fourni par un opérateur réseau ou par une entreprise indépendante.

    Cette voie est valable dans le cas de la majorité des entreprises.

3.1 Produits existants

La popularité des attaques de déni de service à la fin des années 1990 a provoqué la multiplication du nombre de sociétés proposant des solutions dans ce domaine. L'objectif principal est alors de présenter une solution complète permettant à des opérateurs de vendre un service de protection contre les attaques à leurs clients.

Certaines solutions ne s'intéressent qu'à un aspect des attaques (détection de trafic anormal, filtrage du trafic...). D'autres intègrent plusieurs des phases décrites (détection des attaques, traçage, suppression). Leurs architectures sont alors souvent assez similaires. Au fil du temps, certaines startups ont été rachetées par des sociétés plus importantes. Les solutions qu'elles proposaient ont alors été intégrées dans les solutions de protection et gestion de réseaux de ces sociétés. D'autres continuent de fournir des solutions indépendantes.

HAUT DE PAGE

3.1.1 Cisco Traffic Anomaly Detector/Guard

Issus de la startup Riverhead Networks, rachetée par Cisco en 2004, les deux équipements fonctionnent de manière coordonnée...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Choix d'une technique de prévention
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - ISO 7498-2:1989 -   Information processing systems – Open systems interconnection – Basic reference model. Part 2 : Security Architecture.  -  ISO (1989).

  • (2) - CERT Coordination Center -   Denial of service attacks.  -  (1997) http://www.cert.org/tech_tips/denial_of_service.html.

  • (3) - Computer Security Institute -   14th annual CSI computer crime and security survey.  -  Executive summary (2009).

  • (4) - FILIOL (E.) -   Les virus informatiques.  -  [H 5 440] Informatique (2003).

  • (5) - MIRKOVIC (J.), REIHER (P.) -   A taxonomy of DDoS attacks and DDoS defense mechanics.  -  Computer Communications Review, vol. 34, no 2 (2004).

  • (6) - Real Networks -   Realserver view-source DoS vulnerability.  -  (2000) http://www.securityfocus.com/bid/1288/info.

  • ...

1 Sites Internet

• Arbor Networks https://www.netscout.com/arbor-ddos

• Cisco Systems http://www.cisco.com

• Cert Coordination Center http://www.cert.org

• MCI Inc.

• Verisign http://www.verisigninc.com

• SNORT http://www.snort.org

• SPRINT http://www.sprint.net

HAUT DE PAGE

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS