Bibliographie & annexes
Présentation
Auteur(s)
-
Olivier PAUL : Docteur ès sciences - Maître de Conférence à l’Institut National des Télécommunications
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleINTRODUCTION
Par attaque de dénis de service, on entend toute attaque qui permet d’utiliser ou de réserver sur un équipement réseau une quantité de ressources (mémoire, temps, CPU, bande passante...) telle que l’accès de clients légitimes aux services fournis par l’équipement soit devient impossible, soit se produit dans des conditions tellement dégradées qu’elles ne peuvent satisfaire le client. Plusieurs causes peuvent aboutir à cette conséquence et la mise au point de méthodes permettant d’identifier ces causes est encore un sujet de recherche ouvert.
On peut distinguer, parmi les types d’attaque existants, les attaques directes, formes les plus simples où l’attaquant émet des requêtes vers la victime. Dans les attaques distribuées, l’attaquant utilise des ordinateurs esclaves qu’il contrôle à distance. Enfin, l’utilisation de déflecteurs permet à l’attaquant d’ajouter un degré d’indirection.
Comme les attaques de dénis constituent un risque majeur pour tout équipement connecté sur Internet, il est important d’implémenter des techniques de prévention, détection, traçage et suppression des attaques dans le réseau. Les approches par filtrage permettent de limiter la capacité des attaquants à effectuer des usurpations d’adresses. Ces techniques peuvent être complétées par des techniques de redirection et de traçage des attaques afin d’en limiter leur impact et de trouver leurs sources. Enfin, de nouvelles techniques font l’objet de recherches et d’innovation.
La sélection d’une technique de prévention dépend notamment des contraintes techniques provenant du réseau existant, du type de client et du type d’attaque que l’on souhaite prévenir.
L'expertise technique et scientifique de référence
VERSIONS
- Version archivée 2 de avr. 2012 par Olivier PAUL
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Archives > [Archives] Sécurité des systèmes d'information > Prévention des dénis de service dans les réseaux publics > Prévention des attaques de dénis de service
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(239 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Choix d’une technique de prévention2. Prévention des attaques de dénis de service
2.1 Différentes phases de prévention
Comme les attaques de dénis de service constituent un risque majeur pour tout équipement connecté à l’Internet, il est important d’implémenter (mettre en œuvre) des techniques dans le réseau afin de limiter la capacité d’attaquant à réaliser des attaques. Ces techniques peuvent servir un ou plusieurs objectifs tels que :
-
empêcher l’usurpation d’adresses ;
-
trouver l’identité de l’utilisateur d’un équipement connecté au réseau en traçant les paquets, flux ou agrégats de flux dans le réseau lorsque des adresses usurpées sont utilisées ;
-
contrôler la bande passante accordée aux flux ou agrégats de flux ;
-
détecter les famines en terme de ressources ainsi que les surréservations.
Afin d’atteindre ces objectifs, une stratégie cohérente de lutte contre les dénis de service combine plusieurs des techniques présentées dans ce paragraphe 2 afin de couvrir quatre phases essentielles. Ces quatre phases sont présentées en figure 4.
La phase de prévention consiste à prendre des mesures permettant de prévenir ou de limiter l’effet des attaques avant qu’elles ne se produisent.
La phase de détection consiste à indiquer lorsqu’une attaque se produit qu’une attaque est en cours et quel est le type d’attaque. La détection peut être suivie immédiatement d’une phase de suppression afin de supprimer les effets locaux du dénis de service mais la signature de l’attaque n’est généralement pas suffisamment précise pour permettre de supprimer l’attaque localement sans perturber le trafic de clients légitimes.
La phase de traçage permet de trouver soit l’origine du trafic générant le dénis de service, soit une approximation de celle-ci. Le résultat du traçage peut être utilisé pour supprimer l’attaque.
La phase de suppression est l’objectif final du processus de prévention. Elle peut se baser sur une action technique au niveau du réseau (par exemple, bloquer les communications correspondant au dénis de service), soit sur des actions non techniques...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(239 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Prévention des attaques de dénis de service
BIBLIOGRAPHIE
-
(1) - MOORE (D.), VOELKER (G.), SAVAGE (S.) - Inferring Internet Denial of Service Activity, - 2001 USENIX Security Symposium, août 2001.
-
(2) - GIBSON (S.) - The Strange Tale of the Distributed Denial of Service Attacks Against GRC.COM. - Disponible sur grc.com/dos/ grcdos.htm, juil. 2001.
-
(3) - PAXSON (V.) - An Analysis of Using Reflectors for distributed Denial of Service Attacks. - Computer Communication Review, juil. 2001.
-
(4) - HOULE (K.), WEAVER (G.) - Trends in Denial of Service Attack Technology. - CERT Coordination Center, oct. 2001.
-
(5) - FERGUSON (P.), SENIE (D.) - * - RFC 2827, Network Ingress Filtering, Defeating Denial of Service Attacks which employ IP address spoofing, mai 2000.
-
(6) - Cisco Systems - * - Unicast Reverse Path Forwarding (2000).
-
...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(239 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
