une protection puissante contre les attaques de type déni de service

Livre blanc
Citrix NetScaler :
une protection
puissante contre
les attaques de
type déni de service
citrix.fr
Livre blanc
Citrix NetScaler : Une protection puissante
Ces deux dernières années ont vu une nette recrudescence des
attaques de type déni de service (ou DoS). Ce type d’attaque qui
menace la disponibilité est non seulement de retour sur les écrans
radars des équipes en charge de l’exploitation des réseaux et
de la sécurité, mais sa nature même a également évolué. Les
principales sociétés Internet du monde ne constituent plus la
cible principale. Désormais, toute entreprise, quels que soient sa
taille et son secteur d’activité, court un risque. Parvenir à détecter
ces attaques est également bien plus difficile qu’auparavant,
des variantes de la couche applicative, furtives et à faible
bande passante, dont l’objectif est de saturer les ressources
d’arrière-plan, s’ajoutant désormais aux toujours fréquentes
attaques à grande échelle destinées à inonder les canaux réseau
ou à rendre indisponibles les services et les périphériques.
Ce livre blanc examine la physionomie actuelle des attaques de type déni de service et présente les
approches les plus courantes de lutte contre les menaces DoS modernes. Il explique en quoi le
contrôleur de mise à disposition d’applications (ou ADC) Citrix® NetScaler® fournit une base solide
(et néanmoins bon marché) pour la protection de l’entreprise contre la menace DoS. Quelques
avantages de la solution NetScaler :
• Large éventail de mécanismes de protection, capable de contrer efficacement les attaques DoS
ciblant toutes les couches de la pile informatique.
• Intégration de techniques sensibles et innovantes de lutte contre les formes les plus insidieuses
d’attaques DoS sans pénalisation inutile des transactions légitimes.
• Capacité à s’appuyer dans le même temps sur l’environnement NetScaler pour transformer les
anciens datacenters rigides en réseaux cloud d’entreprise modernes, évolutifs et adaptables.
Bien comprendre la physionomie actuelle des attaques DoS
Autrefois la manifestation de la simple volonté de quelques pirates de désorganiser les plus gros
sites Internet, les attaques DoS sont progressivement devenues des agressions à motivation
essentiellement financière. D’une manière générale, ces attaques visant le profit exigeaient
l’emploi de techniques non perturbantes et plus furtives, afin de parvenir au but : le vol de données
précieuses. Les attaques DoS servaient alors principalement à l’extorsion. Le scénario était
généralement le suivant : le méchant menaçait d’exécuter une attaque DoS si une certaine somme
ne lui était pas versée avant une date butoir. Si l’entreprise payait dans les délais, elle recevait un
email de remerciement. Dans le cas contraire, elle subissait les conséquences de son refus.
citrix.fr
2
Livre blanc
Citrix NetScaler : Une protection puissante
Le retour des attaques DoS
Ces dernières années, toutefois, les attaques DoS ont fait leur retour avec un certain esprit de
vengeance. Cette évolution peut être principalement attribuée au fait que ce type d’attaque est
peu à peu devenu la technique favorite d’attaque à but politique ou social. Et d’un point de vue
strictement objectif, elles sont effectivement parfaitement adaptées à ce contexte. Ce ne sont plus
les données de valeur qui intéressent les attaquants, mais attirer l’attention de la cible et, encore
plus important, du plus large public possible.
Dérivé significatif de cet « hacktivisme », l’apparition récente de boîtes à outils gratuites ou très bon
marché permettant la création d’attaques DoS. Associées à la simplicité d’accès aux botnets, ces
boîtes à outils ont été la pierre angulaire du retour en force des attaques de type déni de service.
Elles ont également contribué à l’apparition de nombreuses caractéristiques spécifiques à la
physionomie actuelle des attaques DoS, qu’il est particulièrement important de savoir reconnaître.
Pour commencer, la faible technicité et le faible coût d’entrée signifient que pratiquement tout
le monde peut de nos jours exécuter une attaque DoS. Ensuite, et pour les mêmes raisons très
simples, il est désormais très facile de s’appuyer sur des techniques de déni de service pour
exécuter également des attaques à but lucratif. De telles attaques peuvent par exemple être
exécutées en interrompant directement l’activité d’un concurrent ou bien en utilisant les
techniques DoS comme écran de fumée dans le cadre d’une attaque multi-vectorielle conçue pour
dérober des données précieuses. La chose essentielle à retenir, c’est que toutes les entreprises
constituent désormais une cible DoS potentielle, quels que soient leur taille, leur secteur d’activité
et leur stade de développement.
L’évolution des attaques DoS
Si la simplicité d’exécution a grandement facilité le retour des attaques DoS, un autre
bouleversement majeur frappe également la manière de se défendre contre ces attaques. De
façon similaire à ce qui s’est passé sur le paysage général des menaces, les attaques DoS migrent
progressivement vers le haut de la pile informatique. Mais l’utilisation du mot « migrer » semblant
suggérer un départ de la zone d’origine, il est en fait plus exact de dire qu’elles ajoutent de
nouvelles armes à leur arsenal.
Les attaques DoS à grande échelle bruyantes et ciblées sur le réseau ne vont pas souvent très
loin. Mais elles sont désormais rejointes par une nouvelle espèce d’attaques DoS opérant sur
les couches les plus hautes de la pile informatique. L’un des problèmes majeurs posés par ces
attaques, c’est qu’elles prennent souvent l’apparence de sessions ou transactions légitimes, ce qui
leur permet de franchir sans être détectées un large éventail de mécanismes de défense, dont les
pare-feu et les systèmes de prévention des intrusions.
citrix.fr
3
Livre blanc
Citrix NetScaler : Une protection puissante
Figure 1 : L’asymétrie des attaques DoS
Un autre problème majeur est posé par leur nature de plus en plus asymétrique [illustrée dans la
Figure 1]. D’un point de vue technique, cela signifie qu’elles n’exigent qu’un nombre relativement
peu élevé de requêtes applicatives et/ou une faible bande passante pour provoquer une
consommation totalement disproportionnée de ressources d’arrière-plan. D’un point de vue
pratique, cela signifie encore qu’elles sont plus difficiles à détecter, les pics inattendus de trafic
ou du nombre de transactions ne constituant plus des indicateurs valables de leur présence.
Malgré toutes ces évolutions, les attaques DoS ont toujours pour but de provoquer l’épuisement
des ressources à un point ou à un autre de la chaîne informatique de bout en bout, que ce soit au
niveau de la « plomberie » réseau, des serveurs et des périphériques réseau ou des capacités de
traitement des hôtes des applications. Bien conserver ceci à l’esprit est essentiel si l’on veut
formuler une stratégie efficace d’atténuation du risque DoS.
Stratégies de haut niveau d’atténuation du risque DoS
Les solutions d’atténuation du risque DoS se divisent en deux grandes catégories : les
périphériques matériels basés chez les clients et les offres de services cloud. Au sein de chacune
de ces catégories, de multiples options sont proposées, chacune avec ses avantages et ses
inconvénients.
Périphériques matériels basés chez les clients
Le premier type d’approche d’atténuation du risque DoS de cette catégorie, et qui doit
immédiatement être catalogué comme médiocre et à écarter, est le pare-feu d’entreprise ou le
système de prévention des intrusions. Pour être juste, ces périphériques intègrent souvent un
certain nombre de mécanismes de protection contre les attaques DoS (certains plus que d’autres).
Cependant, ces mécanismes se limitent habituellement à contrer les attaques de déni de service
ciblées sur le réseau et ne fournissent aucune protection contre les variantes ciblant les couches
plus élevées. En outre, ces périphériques sont par nature à états. Le besoin de suivre très
étroitement l’état des paquets et des flux les traversant expose aux attaques DoS les périphériques
eux-mêmes.
citrix.fr
4
Livre blanc
Citrix NetScaler : Une protection puissante
Les périphériques dédiés d’atténuation du risque DoS constituent une autre approche. Bien qu’ils
offrent généralement un large éventail de mécanismes de protection multi-couche, ils présentent
également quelques inconvénients. Pour commencer, ils souffrent des mêmes limites que toutes
les solutions basées sur site chez le client : ils ne sont pas adaptés si l’attaque inonde vos
connexions Internet et empêche le trafic de parvenir jusqu’à eux. Ils sont également exposés
aux attaques SSL, qui entraînent de lourdes surcharges de traitement, tout particulièrement en
l’absence de matériel dédié à l’inspection et à la récusation SSL. Autre équilibre à prendre en
compte : la comparaison entre les bienfaits de chaque fonctionnalité de prévention DoS et le
besoin qu’elle induit d’acheter, de déployer et de maintenir « encore un autre périphérique » pour
chaque connexion Internet significative.
Déjà un composant stratégique de la plupart des réseaux d’entreprise, l’ADC moderne constitue
une troisième approche, bien souvent idéale. Les principaux ADC du marché (tels que NetScaler)
associent un large éventail de fonctionnalités d’atténuation du risque DoS et prennent en charge
toutes les couches de la pile informatique. Ils sont également capables d’assurer une bonne
protection contre les attaques SSL intensives. Le résultat ? Une solution qui assure une couverture
étendue des menaces DoS, sans qu’il ne soit nécessaire d’avoir recours à de nouveaux
périphériques dédiés.
Les offres de services cloud
Le principal avantage des solutions cloud d’atténuation du risque DoS est que, contrairement
aux solutions installées sur site chez le client, ces solutions sont capables de contrer les attaques
DoS dont le but est d’engorger votre bande passante Internet. Généralement, les deux offres
appartenant à cette catégorie d’approche (fournisseurs de services réseau de mise à disposition de
contenu et fournisseurs de services anti-DoS) impliquent la présence de datacenters dotés d’une
bande passante massive. Cette caractéristique inhérente permet à ces solutions de bien mieux
contrer les attaques de type volumétrique. En outre, ces deux types de fournisseurs de services ont
en général consenti des investissements significatifs en faveur d’un large éventail de technologies
d’atténuation du risque DoS, leur activité reposant essentiellement sur elles. Cependant, il faut
bien être conscient des quelques différences significatives existant entre ces solutions, sans parler
de leurs inconvénients potentiels. Notamment :
• Disparité significative de la couverture assurée contre les attaques DoS ciblant les couches
supérieures. Ceci est dans une certaine mesure inévitable, aucun fournisseur externe n’étant
capable de mieux comprendre que vous les « fonctionnalités » de vos applications.
• Bien que les CDN constituent une solution persistante, ils ne sont habituellement utilisés qu’au
profit d’un sous-ensemble des applications et sites clients les plus stratégiques de l’entreprise.
Et même dans ce cas, il existe des possibilités pour les pirates de contourner ou de traverser
les CDN, par exemple en tirant à boulets rouges sur les IP de contrôle ou en déclenchant une
inondation de requêtes générant des défauts de cache et nécessitant un traitement par votre
infrastructure source.
• De leur côté si les centres d’épuration anti-DoS assurent une couverture de l’ensemble du trafic
de l’entreprise, ils ne sont pas persistants (leur coût serait alors prohibitif). Ces solutions sont
uniquement activées par le client, de façon sélective, lorsqu’une attaque est détectée. Cette
caractéristique rend cette solution peu adaptée aux attaques DoS ciblant les couches
supérieures, qui n’impliquent pas forcément l’usage de la force brute et sont donc de ce fait
difficiles à détecter.
citrix.fr
5
Livre blanc
Citrix NetScaler : Une protection puissante
La réponse : une stratégie de défense en profondeur
Sans surprise, l’approche idéale consiste à rechercher une stratégie de défense en profondeur
associant un service cloud et un périphérique installé sur site, opérant de façon complémentaire.
Du fait de la prévalence croissante des attaques ciblant la couche applicative, une solution installée
sur site (tout particulièrement un ADC) promet de générer un impact maximal par rapport à votre
investissement. Ce type de solutions constitue donc pour bon nombre d’entreprises un excellent
début. Ceci dit, investir dans un service d’épuration DoS capable de contrer les attaques réseau
volumétriques est probablement pratiquement aussi intéressant, tout particulièrement si vous
constituez une cible importante.
Difficulté de détection croissante
L’approche NetScaler de protection contre les attaques DoS
En tout point un ADC moderne, NetScaler garantit une robuste protection non seulement
contre les attaques DoS classiques de la couche réseau, mais également contre les attaques plus
avancées et de plus en plus fréquentes ciblant les sessions et la couche applicative (notamment
les variantes asymétriques et à faible bande passante). Pour l’atténuation du risque DoS, NetScaler
adopte la même approche que celle qu’elle applique à tous les autres aspects de la sécurité : un
modèle de sécurité multi-couches. Cette approche permet à NetScaler d’exceller même lorsque les
attaques DoS se déplacent vers les couches supérieures de la pile informatique.
Type d’attaque
Fonctionnalités NetScaler
d’atténuation du risque
Application
Inondations POST malveillantes et GET ;
slowloris, POST lent et autres variantes à
faible bande passante
Validation de protocole applicatif, protection
contre les pics de charge, file d’attente, protection
contre les inondations HTTP, protection contre les
attaques HTTP à faible bande passante
Connexion
et Session
Inondations des connexions, inondations
SSL, inondations DNS (udp, requête,
nxdomain)
Architecture full-proxy, conception haute
performance, gestion intelligente de la mémoire,
protection DNS étendue
Réseau
Syn, UDP, ICMP, inondations ACK et PUSH,
attaques LAND, smurf et teardrop
Défenses intégrées, modèle de sécurité avec
blocage par défaut, validation de protocole,
limitation des taux
Figure 2 : Les fonctionnalités NetScaler de protection contre les attaques DoS
Remarque : bon nombre des technologies d’atténuation du risque énumérées dans la Figure 2
contribuent en réalité à contrer les attaques DoS pour plusieurs couches. La conception haute
performance de l’ADC NetScaler, sa capacité de blocage par défaut et son architecture full-proxy
en sont la parfaite illustration, ces différentes capacités s’appliquant à l’ensemble des couches de
la pile informatique. Elles ne figurent que dans une seule rubrique afin de simplifier les débats.
Protection contre les attaques DoS ciblant la couche réseau
Les attaques DoS de la couche réseau visent principalement à submerger l’infrastructure réseau
publique d’une entreprise via une inondation de trafic ou de paquets spécialement conçus pour
causer un comportement erratique des périphériques réseau. Les fonctionnalités de NetScaler qui
contrecarrent les attaques de cette couche sont notamment :
•Défenses intégrées : NetScaler intègre une pile TCP/IP haute performance conforme aux
normes, qui comprend différentes améliorations spécifiquement pensées pour contrer de
nombreuses formes d’attaques DoS des niveaux inférieurs. Par exemple, la mise en œuvre de
cookies SYN (mécanisme reconnu de lutte contre les attaques par inondation SYN), qui optimise
à la fois les performances (afin de maximiser le débit pour les connexions négociées) et la
sécurité (afin de rendre obsolètes les techniques de falsification des connexions). D’autres
menaces DoS sont contrées de façon similaire, ou grâce à des paramètres de configuration
par défaut : attaques teardrop, LAND, ping of death, smurf et fraggle.
•Capacité de blocage par défaut : le blocage par défaut est sans doute un mécanisme de
protection relativement simple, au moins dans sa conception, mais il s’avère également très
citrix.fr
6
Livre blanc
Citrix NetScaler : Une protection puissante
efficace. En abandonnant automatiquement les paquets qui ne sont pas explicitement autorisés
par stratégie ou qui ne sont pas associés à un flux valide, NetScaler stoppe intrinsèquement un
large éventail d’attaques, dont les inondations génériques UDP, ACK et PUSH.
•Validation de protocole : une catégorie particulièrement pénible d’attaques DoS repose sur
l’envoi de données malformées (paquets avec combinaisons invalides d’étiquettes, fragments
incomplets ou autres en-têtes décapités). Un parfait exemple de ce type d’attaques de la couche
réseau est connu sous le nom d’attaque « sapin de Noël » et tire son nom du fait que les mauvais
paquets sont littéralement illuminés par l’activation de toutes les étiquettes TCP possibles.
NetScaler parvient à contrer ce sous-groupe d’attaques en garantissant que les protocoles de
communication sont bien utilisés d’une façon strictement conforme à leur cahier des charges
et en interdisant les combinaisons qui, quoique techniquement autorisées, pourraient s’avérer
dangereuses. Grâce à NetScaler, ce mécanisme de lutte couvre l’ensemble de la pile
informatique, puisqu’il s’applique à tous les protocoles pris en charge, notamment TCP, UDP,
DNS, RADIUS, Diameter, HTTP, SSL, TFTP et SIP.
•Limitation des taux : une autre technique courante de lutte contre les attaques DoS consiste
à préserver les connexions réseau et les serveurs de toute surcharge grâce à la limitation ou la
redirection de tout trafic excédant un seuil défini. NetScaler permet de le faire avec une précision
granulaire grâce à sa fonctionnalité de contrôle des taux AppExpert. Grâce à cette fonctionnalité,
les administrateurs peuvent définir un large éventail de stratégies de réponse NetScaler,
déclenchables dès le franchissement de seuils prédéfinis (bande passante, connexion ou taux de
requêtes, vers ou à partir d’une ressource donnée, y compris serveurs virtuels, domaines et URL).
Il faut cependant faire attention lors de l’utilisation de ce mécanisme, car il ne faut pas pour
autant impacter involontairement les communications légitimes.
Protection contre les attaques DoS des connexions et des sessions
Les attaques DoS ciblant les connexions visent à épuiser les tableaux d’état des périphériques,
tandis que les attaques DoS ciblant les couches intermédiaires de la pile recherchent
généralement la perversion de la fonctionnalité DNS ou SSL. Les fonctionnalités NetScaler qui
contrent ces deux types d’attaques sont notamment les suivantes :
•Architecture full-proxy : en tant que solution full-proxy, NetScaler est un composant actif du
flux de trafic et non juste un composant passif qui se contente d’observer sans agir sur ce qui se
passe. En fermant toutes les sessions entrantes, NetScaler crée non seulement une « couche
d’isolation » entre les ressources internes et externes, mais fournit en outre une occasion
inestimable d’inspection et, si nécessaire, de manipulation du trafic avant son envoi à destination.
Cette approche permet de rejeter automatiquement un large éventail d’éléments malveillants
tout en fournissant une base solide pour des inspections plus poussées destinées à supprimer
ceux qui restent. Elle permet également à NetScaler de servir de tampon au profit des ressources
d’arrière-plan contre une grande variété de menaces, parmi lesquelles de nombreux types
d’attaques DoS.
•Conception haute performance : servir de tampon efficace au profit des ressources d’arrièreplan exige aussi une conception haute performance. Sans celle-ci, NetScaler ne ferait que
remplacer les différents serveurs comme point de défaillance lors des attaques par déni de
service. NetScaler s’appuie sur une plateforme spécifique au sein de laquelle le matériel et
les logiciels système sont explicitement conçus et optimisés pour les charges NetScaler.
Les fonctionnalités les plus notables comprennent notamment un système d’exploitation
personnalisé (pour un traitement déterministe et à faible latence), une pile de mise en réseau
optimisée, un moteur d’analyse HTTP intelligent et l’utilisation sélective d’accélérateurs matériels
propres aux différentes fonctions. En fait, les accélérateurs SSL dédiés (fonctionnant en
coordination avec un proxy complet capable d’identifier et d’écarter les connexions SSL vides
ou malveillantes) sont essentiels lorsqu’il s’agit de repousser les attaques par inondation SSL.
citrix.fr
7
Livre blanc
Citrix NetScaler : Une protection puissante
Les performances de NetScaler (gamme MPX 22000)
Connexions TCP par seconde :
8,5 millions
Requêtes HTTP par seconde :
4,7 millions
Débit HTTP :
120 Gb/s
Transactions SSL par seconde :
560 000
Attaques SYN par seconde :
38 millions
Requêtes DNS par seconde :
35 millions
Sessions SSL simultanées :
7,5 millions
Sessions TCP simultanées :
75 millions
•Gestion intelligente de la mémoire : une autre méthode adoptée par NetScaler pour contrer
les attaques par inondation des connexions consiste à intégrer des techniques dites « mémoire
moins » pour la négociation des connexions. Ces techniques sont utilisées sur plusieurs couches
de la pile, notamment pour la configuration TCP et HTTP, et évitent à NetScaler d’avoir à allouer
des ressources tant qu’une nouvelle connexion n’a pas été validée ou une requête applicative
réelle soumise. Cette approche limite la dépendance vis-à-vis d’une table de connexions
excessivement étendue et évite le recours à de nombreuses routines de « reaping ». Le reaping
est également utilisé dans d’autres scénarios afin de gérer la mémoire de façon intelligente (par
exemple en hiérarchisant l’élimination des fragments dans des conditions de mémoire faible) et
de contribuer à contrer certaines des attaques « lentes » de la couche applicative présentées un
peu plus loin dans le document. Le résultat final est un renforcement accru de NetScaler luimême contre les attaques DoS et un meilleur stockage temporaire des systèmes d’arrière-plan.
•Défenses DNS étendues : les attaques DoS contre les DNS (service d’infrastructure essentiel de
tout datacenter moderne) ne sont ni nouvelles, ni rares. Elles comprennent les inondations UDP
classiques, ainsi que les inondations basées sur des requêtes et s’appuyant sur de nombreuses
astuces telles que la recherche d’enregistrements pour des hôtes inexistants, dans le but de
surcharger les serveurs DNS. NetScaler contre ces menaces grâce à la prise en charge de deux
modes opératoires : 1. Le mode proxy DNS, dans lequel NetScaler répartit les charges des
serveurs DNS internes de l’entreprise. 2. Le mode autoritaire, dans lequel NetScaler sert
directement de solution d’entreprise pour les demandes de résolution IP et de résolution du
nom. Les fonctionnalités qui s’appliquent à ces deux modes comprennent notamment
l’architecture full-proxy et la conception haute performance de NetScaler, une implémentation
DNS renforcée, la validation de protocole DNS et des fonctionnalités de limitation des taux
spécifiques à DNS. La prise en charge par NetScaler du protocole DNSSEC lui permet de
neutraliser les menaces s’appuyant sur des enregistrements d’hôtes falsifiés ou corrompus pour
atteindre de nouvelles cibles.
Protection contre les attaques DoS de la couche applicative
Le tout dernier domaine d’innovation des attaques DoS, la couche applicative, est particulièrement
problématique pour plusieurs raisons. Pour commencer, les attaques de la couche applicative sont
par définition plus étroites et souvent spécifiques non pas à tout un protocole de la couche
applicative (HTTP, par exemple), mais à une seule application bien précise. Comble de malheurs,
le trafic malveillant est bien souvent impossible à distinguer du trafic normal, aussi bien en termes
de volume que de contenu. Par exemple, une attaque à faible bande passante ne générant rien
de plus qu’une série constante de requêtes destinées à une application connue pour exiger un
important traitement d’arrière-plan (calcul complexe ou opération de recherche, par exemple). Les
périphériques de sécurité des couches inférieures (tels que les pare-feu réseau) ne servent pas à
grand chose contre de telles attaques. Quant aux périphériques des niveaux supérieurs, ils sont
fortement susceptibles de devoir subir des réglages périodiques afin de s’adapter aux nouvelles
tactiques et variables propres à chaque application.
citrix.fr
8
Livre blanc
Citrix NetScaler : Une protection puissante
Les fonctionnalités de NetScaler destinées à contrer les attaques DoS de la couche applicatives
comprennent notamment :
•Validation du protocole applicatif : assurer la conformité aux normes RFC et aux meilleures
pratiques d’utilisation de HTTP est une méthode hautement efficace grâce à laquelle NetScaler
élimine un large éventail d’attaques basées sur des requêtes malformées ou le comportement
illégal du protocole HTTP. D’autres mécanismes personnalisés de vérification et de protection
peuvent être ajoutés à la stratégie de sécurité en s’appuyant sur les fonctionnalités de filtrage
de contenu intégré, de réponse personnalisée et de réécriture HTTP bidirectionnelle.
•Protection contre les pics de trafic et mise en file d’attente : outre la prévention de la
surcharge des serveurs d’arrière-plan au-delà de leur capacité, une stratégie efficace de lutte
contre les attaques DoS exige la garantie que les clients obtiendront une réponse et que le trafic
stratégique de l’entreprise ne sera pas affecté négativement en cas d’attaque. Les fonctionnalités
de NetScaler qui permettent de répondre à cette exigence comprennent notamment la
protection contre les pics de trafic et la mise en file d’attente. NetScaler traite aisément les pics
de connexion intermittents en basant le taux auquel les nouvelles connexions sont présentées
aux serveurs d’arrière-plan sur leur capacité actuelle. Facteur important, grâce à ce mécanisme,
aucune connexion n’est abandonnée. NetScaler les met en cache et les met à disposition, dans
leur ordre de réception, dès que les serveurs d’arrière-plan sont prêts à les traiter. Fonctionnalité
étroitement associée, la mise en file d’attente définit un schéma de hiérarchisation qui permet de
contrôler l’ordre dans lequel les requêtes placées en attente sont traitées. Cet ordre est basé sur
l’importance relative des applications associées.
Comportement du serveur sans protection contre les pics de trafic
Comportement du serveur avec protection contre les pics de trafic
citrix.fr
9
Livre blanc
Citrix NetScaler : Une protection puissante
•Protection contre les inondations HTTP : une méthode innovante est utilisée pour lutter contre
les inondations GET HTTP. Lorsque les conditions d’une attaque sont détectées (à partir d’un seuil
configurable de requêtes mises en file d’attente), NetScaler adresse une question de vérification
à faible impact à un pourcentage paramétrable des clients associés. Cette question est conçue
de façon à ce que les clients légitimes puissent facilement y répondre correctement, mais pas
les drones DoS passifs. Cette information permet à NetScaler de faire la différence entre les
fausses requêtes et les requêtes transmises par des utilisateurs légitimes, pour ensuite éliminer
les premières et conserver les secondes. Des techniques similaires, associées à la limitation des
taux au niveau applicatif, permettent de bloquer les inondations GET récursives et HTTP POST.
•Protection contre les attaques HTTP à faible bande passante : NetScaler contre
automatiquement les attaques slowloris (qui délivrent des en-têtes HTTP fragmentaires juste
avant le délai d’expiration du serveur cible) en ne reconnaissant jamais la configuration d’une
connexion valide. En revanche, déjouer les attaques POST lentes, qui alimentent très lentement
le serveur en données HTTP, présente plus de difficultés mais demeure possible. Dans ce cas,
NetScaler utilise des algorithmes spéciaux afin de contrôler des conditions témoins au niveau
des requêtes applicatives, de modérer le nombre de connexions très lentes délivrées à tout
instant et de supprimer de façon proactive de la mémoire les connexions lentes excédentaires.
Le suivi des anomalies de performance des serveurs et les règles personnalisées de limitation des
taux peuvent également être utilisées afin de contribuer à bloquer d’autres variantes émergentes
d’attaques DoS à faible bande passante.
Conclusion
Véritables menaces pesant sur la disponibilité, les attaques par déni de service se sont ces
dernières années renforcées, aussi bien en termes de fréquence que de sophistication. Pour la
plupart des entreprises, une protection complète contre cette classe de menaces impliquera
l’association complémentaire de services cloud d’épuration DoS et de technologies d’atténuation
du risque DoS installées sur site. Pour la partie installée sur site chez le client, Citrix NetScaler
constitue une solution idéale. Grâce à NetScaler, les entreprises peuvent s’appuyer sur la même
plateforme que celle qui leur permet déjà de transformer leurs anciens environnements
informatiques rigides en datacenters cloud hautement adaptables, afin de mettre en place une
défense multi-couches efficace contre les attaques DoS potentiellement désastreuses.
Siège social
Fort Lauderdale, Floride, États-Unis
Centre de développement Inde
Bangalore, Inde
Siège Amérique latine
Coral Gables, Floride, États-Unis
Siège Silicon Valley
Santa Clara, Californie, États-Unis
Siège Division en ligne
Santa Barbara, Californie, États-Unis
Centre de développement Royaume-Uni
Chalfont, Royaume-Uni
Siège Europe, Moyen-Orient, Afrique
Schaffhausen, Suisse
Siège Pacifique
Hong Kong, Chine
À propos de Citrix
Citrix (NASDAQ:CTXS) est le leader en matière d’espaces de travail mobiles, combinant virtualisation, gestion de la mobilité, mise en réseau
et services de cloud pour offrir de nouveaux modes de travail plus efficaces. Les solutions Citrix favorisent la mobilité professionnelle grâce
à des espaces de travail personnels et sécurisés offrant aux utilisateurs un accès instantané aux applications, postes de travail, données et
communications sur tout périphérique, tout réseau et dans le cloud. Cette année, Citrix célèbre 25 ans d’innovation qui rend aujourd’hui
l’informatique plus accessible et les employés plus productifs. Le chiffre d’affaires annuel de l’entreprise a atteint 2,9 milliards de dollars
en 2013. Les produits Citrix sont utilisés dans le monde entier par plus de 330 000 entreprises et plus de 100 millions d’utilisateurs. Pour en
savoir plus www.citrix.fr.
Copyright © 2015 Citrix Systems, Inc. Tous droits réservés. Citrix et NetScaler sont des marques commerciales de Citrix Systems, Inc. et/ou de
ses filiales, et peuvent être enregistrées aux États-Unis et dans d’autres pays. Tous les autres noms de produit et d’entreprise mentionnés ici
sont des marques commerciales de leurs propriétaires respectifs.
0115/PDF
citrix.fr
10