Découvrez comment Cloudflare vous protège contre les attaques DDoS et comment savoir si votre site web est attaqué.
Aperçu
Une attaque par déni de service distribué (DDoS, Distributed Denial of Service) est une attaque qui cherche à rendre un service en ligne indisponible pour ses utilisateurs finaux. Pour toutes les offres, Cloudflare propose une atténuation illimitée des attaques DDoS des couches 3, 4 et 7. Cloudflare ne facture pas le service en fonction de l’ampleur de l’attaque et n’applique aucun plafond au regard de l’ampleur, du type ou de la durée de cette dernière.
Le réseau de Cloudflare est conçu pour détecter et atténuer automatiquement les attaques DDoS importantes. La mise en cache de vos contenus sur Cloudflare protège également votre site web contre les attaques DDoS de moindre ampleur, mais les ressources non mises en cache nécessitent une intervention manuelle supplémentaire en cas d’attaque DDoS. Par ailleurs, Cloudflare aide à atténuer les attaques DDoS de moindre ampleur pour les domaines couverts par toutes les offres si :
- Le taux d’erreurs HTTP 52X est supérieur à 150 erreurs par seconde, et
- Le taux d’erreurs actuel est au moins cinq fois supérieur au taux d’erreur moyen des 7 derniers jours.
Toutes les erreurs HTTP de la plage 52X sont prises en compte dans le calcul du taux d’erreurs.
Les atténuations d’attaques HTTP flood sont affichées sur le tableau de bord Firewall Analytics sous forme d’événements DDoS HTTP.Ces événements sont disponibles dans Cloudflare Logs.
Actuellement, pour les atténuations DDoS basées sur le taux d’erreurs HTTP, les clients ne peuvent pas :
- Désactiver les atténuations,
- Modifier les seuils d’atténuation, ou
- Exclure des codes d’erreur HTTP spécifiques.
Apprenez-en davantage sur les attaques DDoS célèbres et les attaques DDoS dans le Centre d’apprentissage de Cloudflare. Vous pouvez également parcourir des études de cas d’attaques DDoS en consultant les ressources correspondantes à la fin de cet article.
Déterminez si vous êtes victime d’une attaque DDoS
Voici quelques indices courants indiquant que vous êtes victime d’une attaque DDoS :
- Votre site est hors ligne ou ses réponses aux requêtes sont lentes.
- Vous observez des pics inattendus sur les graphiques Requests Through Cloudflare (Requêtes transmises via Cloudflare) ou Bandwidth (Bande passante) de l’application Cloudflare Analytics.
- Les fichiers journaux de votre serveur web d’origine contiennent des requêtes étranges qui ne reflètent pas le comportement normal des visiteurs.
Est-ce que Cloudflare m’attaque ?
Dans deux scénarios courants, Cloudflare peut sembler attaquer votre site :
- À moins de restaurer les adresses IP d’origine des visiteurs, les adresses IP de Cloudflare apparaissent dans les fichiers journaux de votre serveur pour toutes les requêtes traitées en proxy.
- Le pirate usurpe les adresses IP de Cloudflare. Cloudflare envoie uniquement du trafic à votre serveur web d’origine sur quelques ports spécifiques, sauf si vous utilisez Cloudflare Spectrum.
Dans le meilleur des cas, étant donné que Cloudflare est un proxy inverse, votre fournisseur d’hébergement observe le trafic de l’attaque qui se connecte aux adresses IP de Cloudflare. En revanche, si vous voyez des connexions provenant d’adresses IP qui n’appartiennent pas à Cloudflare, il s’agit d’une attaque directe contre votre serveur web d’origine. Cloudflare ne peut pas arrêter les attaques visant directement votre adresse IP d’origine car le trafic contourne son réseau.
Ressources associées
- Répondre aux attaques DDoS
- Meilleures pratiques : Mesures de prévention contre les attaques DDoS
- Utilisation des fichiers journaux de Cloudflare pour enquêter sur le trafic d’une attaque DDoS (Enterprise uniquement)
- Qu’est-ce qu’une attaque DDoS ?
- Fonctionnement des attaques par amplification DNS
Études de cas :
- How to Launch a 65Gbps DDoS, and How to Stop One
- Ceasefires Don’t End Cyberwars
- Reflections on reflection (attacks)
- Stupidly Simple DDoS Protocol (SSDP) generates 100 Gbps DDoS
- Memcrashed - Major amplification attacks from UDP port 11211
- The real cause of large DDoS - IP Spoofing