Présentation
Auteur(s)
-
Olivier PAUL : Docteur ès sciences - Maître de Conférence à l’Institut National des Télécommunications
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleINTRODUCTION
Par attaque de dénis de service, on entend toute attaque qui permet d’utiliser ou de réserver sur un équipement réseau une quantité de ressources (mémoire, temps, CPU, bande passante...) telle que l’accès de clients légitimes aux services fournis par l’équipement soit devient impossible, soit se produit dans des conditions tellement dégradées qu’elles ne peuvent satisfaire le client. Plusieurs causes peuvent aboutir à cette conséquence et la mise au point de méthodes permettant d’identifier ces causes est encore un sujet de recherche ouvert.
On peut distinguer, parmi les types d’attaque existants, les attaques directes, formes les plus simples où l’attaquant émet des requêtes vers la victime. Dans les attaques distribuées, l’attaquant utilise des ordinateurs esclaves qu’il contrôle à distance. Enfin, l’utilisation de déflecteurs permet à l’attaquant d’ajouter un degré d’indirection.
Comme les attaques de dénis constituent un risque majeur pour tout équipement connecté sur Internet, il est important d’implémenter des techniques de prévention, détection, traçage et suppression des attaques dans le réseau. Les approches par filtrage permettent de limiter la capacité des attaquants à effectuer des usurpations d’adresses. Ces techniques peuvent être complétées par des techniques de redirection et de traçage des attaques afin d’en limiter leur impact et de trouver leurs sources. Enfin, de nouvelles techniques font l’objet de recherches et d’innovation.
La sélection d’une technique de prévention dépend notamment des contraintes techniques provenant du réseau existant, du type de client et du type d’attaque que l’on souhaite prévenir.
VERSIONS
- Version courante de avr. 2012 par Olivier PAUL
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Archives > [Archives] Sécurité des systèmes d'information > Prévention des dénis de service dans les réseaux publics > Choix d’une technique de prévention
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(240 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
3. Choix d’une technique de prévention
Nous avons présenté dans cet article les principales techniques de prévention de dénis de service mises en œuvre dans le cas de réseaux publics. Nous avons également montré quelles étaient les évolutions envisagées pour les techniques actuelles. Une question que l’on peut se poser est comment sélectionner une méthode de prévention parmi celles que nous avons présentées.
Le principal critère de sélection d’une technique de prévention est généralement lié aux contraintes techniques provenant du réseau existant. De nombreux routeurs présents aujourd’hui dans les réseaux ne sont pas capables d’implémenter toutes les techniques que nous avons présentées soit par le fait que les équipements physiques ne supportent pas de telles fonctions, soit par le fait que le système d’exploitation ne les fournit pas.
Le tableau 2 présente un résumé des différentes techniques abordées dans ce document et précise leurs points potentiels d’application à la fois en terme de phase de lutte contre les attaques et en terme d’équipements utilisés. Dans ce tableau, les équipements d’interconnexion de clients sont notés PE (Provider Edge ) et CE (Customer Edge ) pour les routeurs de bordure respectivement localisés chez l’opérateur et le client. Les équipements de cœur de réseau sont notés P (Provider ) et PP (Provider peering Point ) pour désigner respectivement les routeurs simples de cœur et les routeurs d’interconnexion entre opérateurs.
les routeurs PE et CPE pourraient être implantés au moyen de routeurs Cisco série 7000 ou Juniper séries E ou M tandis que les routeurs P et PP pourraient être implantés au moyen de routeurs Cisco série 12000 ou Juniper série T.
Il est à noter que la compatibilité entre ces fonctions et les équipements ou versions de logiciel utilisés par ceux‐ci est généralement fournie par les constructeurs. Par ailleurs, la plupart des constructeurs proposent à leurs utilisateurs des guides indiquant comment mettre en œuvre ces techniques. D’autres équipements sont capables d’implémenter ces fonctions mais en provoquant des ralentissements inacceptables. D’autre limitations proviennent des protocoles mis en œuvre dans le réseau et de l’emplacement dans le réseau des équipements utilisant ces protocoles.
La...
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(240 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Choix d’une technique de prévention
BIBLIOGRAPHIE
-
(1) - MOORE (D.), VOELKER (G.), SAVAGE (S.) - Inferring Internet Denial of Service Activity, - 2001 USENIX Security Symposium, août 2001.
-
(2) - GIBSON (S.) - The Strange Tale of the Distributed Denial of Service Attacks Against GRC.COM. - Disponible sur grc.com/dos/ grcdos.htm, juil. 2001.
-
(3) - PAXSON (V.) - An Analysis of Using Reflectors for distributed Denial of Service Attacks. - Computer Communication Review, juil. 2001.
-
(4) - HOULE (K.), WEAVER (G.) - Trends in Denial of Service Attack Technology. - CERT Coordination Center, oct. 2001.
-
(5) - FERGUSON (P.), SENIE (D.) - * - RFC 2827, Network Ingress Filtering, Defeating Denial of Service Attacks which employ IP address spoofing, mai 2000.
-
(6) - Cisco Systems - * - Unicast Reverse Path Forwarding (2000).
-
...
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(240 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive