Mal au DOS : Balle à la défense

Partager

Bon d'accord, cela va être dur. Mais on ne va pas se rendre sans combattre, non ? Comment rendre impossible l'attaque ? La sécurité complète étant une utopie digne de la science fiction. Il existe pourtant quelques méthodes pour limiter les attaques.

Comme je n'invente rien (malheureusement), il existe deux types de mesures à prendre : préventives et réactives. Prenons les premières, l'objectif sera de rendre difficile le recrutement, de limiter les paquets vers une destination particulière, d'améliorer les capacités du système/réseau. En fait, les mesures préventives à prendre contre les attaques DDOS sont les mêmes que la protection de votre réseau. On passera vite sur une meilleure programmation d'un point de vue de la sécurité de tous les programmes utilisés (je sais, c'est bête, mais c'est la base de tout). Une possibilité toute simple pourrait consister à remettre l'humain dans la balance en créant des contrôles type captcha rendant difficile des attaque automatiques. Puisque l'on ne peut pas contrôler les programmes, il va falloir vérifier les vulnérabilités présentes, et les résoudre (comment une autre porte ouverte !) lorsque cela est possible, ce serait trop dommage que tout votre réseau serve de point d'appui à un botnet (enfin, c'est vous qui voyez). Je ne reviendrai pas sur les méthodes qui vous ont été maintes fois décrites. Par contre, c'est un peu nouveau, il va falloir configurer vos logiciels pour ne pas allouer plus de ressources que nécessaires. Il existe dans la plupart des logiciels des paramètres d'allocation de ressources qui permettent de limiter les ressources CPU, mémoire, réseau, disque à un certain processus. Avec cela vous serez presque blindé à une attaque DDOS (au moins la plupart des attaquants chercheront une cible plus facile à faire plier). Bien sûr, on peut aussi, c'est plus facile et plus cher, augmenter la capacité de traitement de votre SI.

Nicolas Jacquey
Philippe Maltere

_