Les attaques de couche 7 sont plus difficiles que les inondations volumétriques de base car le trafic ressemble souvent à du trafic d'application normal.
L'attaquant ne tente pas seulement de saturer la bande passante. Il essaie de faire en sorte que vos chemins coûteux travaillent :
- recherches de session
- requêtes de recherche
- flux de connexion
- chemins de rendu ou de cache manquant
Cela signifie qu'une requête peut être malveillante même si elle est une requête HTTP parfaitement valide.
Pourquoi l'atténuation à la périphérie est-elle importante
Plus une mauvaise requête survit longtemps, plus elle consomme d'infrastructure.
C'est pourquoi l'atténuation au niveau de l'application fonctionne le mieux dès que possible :
- CDN ou proxy inverse
- WAF
- middleware de périphérie
- puis origine
Si une requête malformée ou suspecte peut être rejetée avant d'atteindre vos serveurs d'application, c'est généralement une énorme victoire.
Le comportement l'emporte sur les règles d'identité naïves
La limitation de taux simple par IP échoue souvent lorsque les attaquants distribuent bien le trafic.
Les signaux utiles proviennent généralement de combinaisons de :
- forme de requête
- ciblage de chemin
- motifs d'en-tête
- attentes de token ou de cookie
- succès ou échec du défi
C'est pourquoi les contrôles comportementaux et les mécanismes de défi sont souvent plus efficaces que de simplement compter les requêtes par IP.
Ne pas oublier le compromis produit
Une atténuation agressive peut bloquer de vrais utilisateurs.
C'est pourquoi une bonne défense contre les DDoS ne consiste pas seulement à "laisser tomber plus de trafic". C'est :
- filtrage économique
- escalade prudente
- mesure des faux positifs
Parfois, une page de défi est préférable à un blocage strict car elle donne aux vrais navigateurs un chemin tout en augmentant le coût pour les attaquants.
Lectures complémentaires