[QST] Protection DDOS et DBF

Sur tout ce qui concerne la sécurité des réseaux et systèmes avec leur protection et comment les contourner.

[QST] Protection DDOS et DBF

Messagepar hannibal.76 » 21 Juillet 2014, 20:34

Bonjour,

je suis actuellement en train d'essayer de sécurisé mon API web.
En effet, j'ai déjà subit pas mal de DDOS/DBF sur mes API web et je cherche comment faire pour sécurisé cela.

J'ai bien essayer de mettre en place un système de ban des IP qui effectue trop de connexion, mais cela n'est pas efficace en cas de DDOS.
Je vais dons ajouter des IDS & IPS.

Avez vous des idées de protection que je pourrai mettre en place.

Je vous remercie pour vos idées ;)
try{
I know HTML & CSS
(How To Meet Ladies) & (Countless Sex Styles)
}
catch(...){
Just play with me :D
}
Avatar de l’utilisateur
hannibal.76
Crackeur expert
Crackeur expert
 
Messages: 240
Inscription: 27 Août 2007, 21:31

Re: [QST] Protection DDOS et DBF

Messagepar etherlord » 22 Juillet 2014, 06:27

Actuellement, 25% des attaques DOS/DDOS sont du type TCP Syn flood, contre lesquelles tu ne peut pas grand chose à moins de disposer d'une infrastructure adéquate.

Différencier un trafic légal de l'attaque n'est pas simple, à moins que tu ait un système qui a appris ce qu'était un trafic légal chez toi. L'IDS va faire une partie du
travail pour une attaque simple, mais pas suffisant dans le cas d'un déni distribué. Attention à la façon dont tu monte ton IDS ou tout autre élément dans ton
infra, suivant comment tu risque de plus pénaliser l'accès à ton application que de te protéger. A la limite un proxy en transparent peut faire une partie du travail

Plus de 50% visent l'application, et là par contre c'est quelque chose que tu peut améliorer. Ton client doit valider la requête le plus rapidement possible afin
de déterminer si il est nécessaire de la traiter ou pas.

A noter qu'au niveau d'une industrie, résister à une attaque DDOS implique généralement une collaboration avec le FAI. C'est encore le mieux placé pour prendre
certaines mesures. Globalement, les mesures les plus efficaces sont des appliances filtrantes qui connaissent le trafic qui vient chez toi. Et le boîtier doit être
dimensionné pour supporter la charge......

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2490
Inscription: 22 Mars 2004, 16:12

Re: [QST] Protection DDOS et DBF

Messagepar hannibal.76 » 22 Juillet 2014, 08:04

Ok merci pour les précision.

Ton client doit valider la requête le plus rapidement possible afin
de déterminer si il est nécessaire de la traiter ou pas.

Pourrais-tu m'expliquer ce que tu veux dire ici ? Car moi actuellement je prend des DBF sur la méthode de login de mon API REST et je ne vois pas bien ce que tu veux dire.

Dans tous les cas, merci pour ton aide; )
try{
I know HTML & CSS
(How To Meet Ladies) & (Countless Sex Styles)
}
catch(...){
Just play with me :D
}
Avatar de l’utilisateur
hannibal.76
Crackeur expert
Crackeur expert
 
Messages: 240
Inscription: 27 Août 2007, 21:31

Re: [QST] Protection DDOS et DBF

Messagepar etherlord » 22 Juillet 2014, 16:38

Cela va être difficile de te répondre en détail, car cela dépend de ce que ton service attends comme requête.

Par exemple, si ton service ne répond qu'à une requête basique genre tu a une liste d'articles et tu sort le prix, le client te demande l'article, tu envoie le prix, ben là,
il n'y a pas grand chose à faire (en général, les requêtes sont légales dans le cadre d'un DDOS applicatif)

Par contre, si tu demande une liste d'objets, et que la première réponse contient la liste des objets disponibles, et que tu doit renvoyer une 2ème requête avec
comme demande un objet qui t'a été renvoyé, là tu pourrait imaginer de filtrer la première requête, et de considérer qu'une requête qui te demande un article qui
n'existe pas, peut être droppé plutôt que de lui renvoyer la liste complète des objets disponibles.

(Sait pas si je me fait bien comprendre là...)

Après il faut aussi voir, que si tu fait face à des gens compétents, le DDOS que tu va prendre dans les dents sera de plusieurs types/niveaux mélangés. C'est une des
façon actuellement de contourner les mécanismes de protection , tu peut imaginer qu'un syn flood sera bloqué par ton IDS, mais il ne verra pas passer les attaques
applicatives, avec en plus un BF sur des logins, et là ton service il va un peu ramer...

Mais pour le login c'est la même chose, tu peut imaginer un mode dégradé où à chaque demande, tu incrémente le temps pendant lequel le demandeur ne sera plus
autorisé à se connecter (1min, 2 min, 5 min, 10 min, etc...). Après l'idéal étant de bloquer à l'entrée, ce qui signifie un dialogue entre tes équipements si tu en as
plusieurs. L'avantage, c'est que tu limite sérieusement les possibilités d'un bot, alors que tu ne pénalise pas trop ton client (le gars qui doit attendre 20 min, cela
signifie quand même qu'il s'est planté 5 fois....)

Mais bon, au final, pour être honnête, si tu veut vraiment lutter contre du DDOS (un vrai, pas le SK qui lance unicorn sur son PC avec son abonnement de base), faut
passer par une appliance qui traite les paquets dans un ASIC ou un truc du style, c'est le top, par contre, les derniers prix que j'ai, c'est autour des 20'000eu.....

Je n'ai pas connaissance d'un seul projet open-source qui tente d'adresser cette problématique, alors qu'on pourrait probablement faire quelque chose entre
squid/apache avec un apache comme reverse-proxy/waf frontal, associé à du snort....

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2490
Inscription: 22 Mars 2004, 16:12

Re: [QST] Protection DDOS et DBF

Messagepar hannibal.76 » 22 Juillet 2014, 18:22

Ok, je comprend mieux ce que tu veux dire.

La j'ai un jolie couple snort/guardian/fail2ban pour ce qui est de IDS.
Pour ce qui est de mon API REST de login, j'ai mis plusieurs secu:
  • Ban IP x heures si plus de 3 tentatives échoué
  • Limitation du nombre de requêtes par seconde (j'ai pris le nombre de max de query que j'ai en temps normal + une marge .)
  • Delai mini de 500ms entre deux essais de login

Voila voila. Je vais bien voir si cela tiens un peux.

Je te remercie de ton aide etherlord ;)
try{
I know HTML & CSS
(How To Meet Ladies) & (Countless Sex Styles)
}
catch(...){
Just play with me :D
}
Avatar de l’utilisateur
hannibal.76
Crackeur expert
Crackeur expert
 
Messages: 240
Inscription: 27 Août 2007, 21:31


Retourner vers Sécurité informatique

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités