Passons à la réaction maintenant.
Mais réaction ne veut pas dire « pas de préparation ». Il faut pour pouvoir réagir établir une bonne détection d'attaque au moyen de sondes ou d'outils statistique, et connaître votre activité réseau habituel (pour ne pas qu'un gros transfert de fichiers deviennent une attaque DOS, problème de faux positif). Mais une bonne réaction commence par une bonne analyse et une bonne compréhension du phénomène (élimination des faux positifs). Une bonne réaction doit être :
- Efficace (Détection, caractérisation)
- Connaître toutes les attaques (la complétude est difficile à atteindre)
- Continuer à fournir le service (trafic légitime stoppé par une défense = dommage collatéral = attaque réussie)
- Facilité de déploiement (on en reparlera plus tard)
Il existe à l'heure actuelle un certain nombre d'outil permettant de détecter une attaque, basé sur des signatures (bof), des analyses statistiques (pour une fois, cela peut être utile puisque une attaque DDOS n'est pas faite pour passer sous le radar), et une base de connaissance des principaux botnets. En parlant de cela, il est étrange que l'on ne fasse pas une grande campagne vers ces machines pour éradiquer le mal à la presque source. Une fois l'attaque bien comprise, il existe deux moyens de la contrer, soit de créer un trou noir (c'est-à-dire que TOUT le trafic est détruit pour une destination précise, en un mot l'attaque est réussie. On verra dans l'article suivant que l'on peut nuancer ce propos), technique assez simple à mettre en œuvre, ou bien de créer une zone de lessivage de flux ou « clean pipe » qui suppose une infrastructure assez voir très puissante capable d'analyser chaque paquet et de trier le bon grain de l'ivraie. Des solutions de ce type existent bien entendu, mais il faut avoir un bon chéquier.
_