Types d’attaques atténuées par Azure DDoS Protection
Azure DDoS Protection peut atténuer les types d’attaques suivants :
Attaques volumétriques : L’objectif de ces attaques est de submerger la couche réseau d’une quantité substantielle de trafic apparemment légitime. Elles incluent les saturations UDP, les saturations par amplification et autres saturations par falsification de paquets. Le service Protection DDoS atténue ces attaques potentielles de plusieurs gigaoctets en les absorbant et en les purgeant, grâce à l’échelle du réseau global d’Azure, automatiquement. Les types d'attaques les plus courants sont énumérés dans le tableau suivant.
Type d’attaque Description Saturation ICMP Surcharge la cible avec les paquets de demande d’écho ICMP (ping), ce qui provoque une interruption. Fragmentation IP/ICMP Exploite la fragmentation des paquets IP pour submerger la cible avec des paquets fragmentés. Inondation IPsec Inonde la cible avec des paquets IPsec, accablant la capacité de traitement. Saturation UDP Envoie un grand nombre de paquets UDP aux ports aléatoires, ce qui entraîne l’épuisement des ressources. Attaque par amplification de réflexion Utilise un serveur tiers pour amplifier le trafic d’attaque vers la cible. Attaques de protocole : ces attaques rendent une cible inaccessible, en exploitant une faille dans la pile de protocole des couches 3 et 4. Elles incluent les attaques par saturation SYN, les attaques par réflexion et d’autres attaques de protocole. Le service Azure DDoS Protection atténue ces attaques en faisant la distinction entre le trafic légitime et le trafic malveillant, qu’il bloque par l’intermédiaire du client. Les types d'attaques les plus courants sont énumérés dans le tableau suivant.
Type d’attaque Description Inondation SYN Exploite le processus d’établissement d'une liaison TCP pour surcharger la cible avec les demandes de connexion. Attaque fragmentée de paquets Envoie des paquets fragmentés à la cible, ce qui provoque l’épuisement des ressources pendant le réassemblage. Ping of Death Envoie des paquets mal formés ou surdimensionnés pour se bloquer ou déstabiliser le système cible. Attaque smurf Utilise les demandes d’écho ICMP pour inonder la cible du trafic en exploitant des appareils réseau. Attaques de la couche Ressource (Application) : ces attaques ciblent les paquets d’application web pour interrompre la transmission des données entre des hôtes. Elles incluent les violations de protocole HTTP, l’injection SQL, les scripts de site à site et autres attaques de la couche 7. Utilisez un pare-feu d’applications web, tel que le pare-feu d’applications web Application Gateway Azure, et que le service Protection DDos pour offrir une défense contre ces attaques. Il existe également des offres de pare-feu d’application web tiers sur la Place de marché Microsoft Azure. Les types d'attaques les plus courants sont énumérés dans le tableau suivant.
Type d’attaque Description Détournement de BGP Implique de prendre le contrôle d’un groupe d’adresses IP en endommageant les tables de routage Internet. Slowloris Conserve de nombreuses connexions au serveur web cible ouvertes et les conserve aussi longtemps que possible. slow post Envoie des en-têtes HTTP POST incomplets, ce qui entraîne l’attente du serveur pour le reste des données. Lecture lente Lit les réponses du serveur lentement, ce qui entraîne l’ouverture de la connexion au serveur. Inondation HTTP(s) Inonde la cible avec des requêtes HTTP, ce qui empêche le serveur de répondre. Attaque basse et lente Utilise quelques connexions pour envoyer ou demander des données lentement, en évitant la détection. Grande charge utile POST Envoie des charges utiles volumineuses dans les requêtes HTTP POST pour épuiser les ressources du serveur.