HTTP DDoS Ensemble de règles gérées pour la protection contre les attaques
Le jeu de règles géré CIS HTTP DDoS Attack Protection est un ensemble de règles préconfigurées conçues pour détecter et atténuer les vecteurs d'attaque connus de la couche 7 (couche application) DDoS sur le réseau mondial CIS.
Actuellement, l'ensemble de règles HTTP DDoS Attack Protection n'est disponible qu'en utilisant l'API CIS.
L'ensemble de règles géré permet de se protéger contre :
- Modèles et outils d'attaque connus sur DDoS
- Comportement suspect en matière de demandes
- Violations du protocole
- Demandes générant un nombre excessif d'erreurs d'origine
- Inondations de trafic ciblant l'origine ou le cache
- Autres vecteurs d'attaque de la couche application
Le jeu de règles géré HTTP DDoS Attack Protection est toujours activé pour tous les clients CIS et ne peut pas être désactivé. Cependant, vous pouvez personnaliser la façon dont l'ensemble de règles répond aux attaques détectées.
Le jeu de règles offre également une visibilité sur les attaques de la couche 7 DDoS atténuées par CIS, ce qui vous permet d'examiner l'activité active et historique des attaques.
Configuration de jeu de règles
Si vous prévoyez d'importants volumes de trafic légitime, vous pouvez personnaliser les paramètres de HTTP DDoS Attack Protection afin de réduire les faux positifs, c'est-à-dire les demandes légitimes qui sont détectées à tort comme du trafic d'attaque et qui sont bloquées ou contestées.
Vous pouvez ajuster le comportement des règles dans le jeu de règles géré en modifiant les paramètres suivants :
- Action exécutée lorsqu'une attaque est détectée.
- Le niveau de sensibilité des mécanismes de détection des attaques.
Certaines actions et certains niveaux de sensibilité ne sont disponibles que sur des plans spécifiques CIS.
Actuellement, vous pouvez définir des dérogations au niveau du compte pour l'ensemble de règles gérées HTTP DDoS Attack Protection uniquement par l'intermédiaire de l'API.
Pour ajuster le comportement de la règle, utilisez les API de jeux de règles avec la phase ddos_l7.
Disponibilité
Le jeu de règles géré HTTP DDoS Attack Protection protège les clients CIS sur tous les plans et s'applique à toutes les zones. Les clients peuvent configurer l'ensemble de règles au niveau de la zone et du compte.
Les clients des plans Enterprise peuvent créer jusqu'à 10 dérogations (ou jusqu'à 10 règles lorsqu'ils utilisent l'API) avec des expressions personnalisées pour adapter la protection de DDoS à différentes catégories de demandes entrantes.
Les clients des plans standard ne peuvent créer qu'une seule dérogation et ne peuvent pas personnaliser l'expression de la règle. Dans ce cas, la dérogation unique (contenant un ou plusieurs paramètres de configuration) s'applique à toutes les demandes entrantes.
Paramètres
Configurez le jeu de règles géré HTTP DDoS Attack Protection pour changer l'action appliquée à une attaque donnée ou modifier le niveau de sensibilité du mécanisme de détection.
Vous pouvez définir des dérogations à l'aide de l'API Rulesets.
Les paramètres suivants sont disponibles dans le jeu de règles géré HTTP DDoS Attack Protection :
- Action
- Niveau de sensibilité
Action
Nom de la propriété API : action.
L'action détermine comment CIS traite les demandes HTTP qui correspondent aux règles de l'ensemble de règles gérées HTTP DDoS Attack Protection.
| Action | Valeur de l'API | Description |
|---|---|---|
| Bloc | block |
Bloque les demandes HTTP qui correspondent à l'expression de la règle. |
| Demande d'authentification gérée | managed_challenge |
|
| Demande d'authentification interactive | challenge |
Présente un défi interactif aux clients qui font des demandes HTTP correspondant à l'expression de la règle. |
| Journal | log |
Disponible uniquement sur les plans Enterprise avec Advanced DDoS Protection. Enregistre les demandes qui correspondent à l'expression d'une règle détectant les attaques HTTP DDoS. Recommandé pour valider une règle avant d'engager une action plus sévère. |
| Connexion Fermer | Non applicable (action de règle interne que vous ne pouvez pas utiliser dans les substitutions) | Indique au client d'établir une nouvelle connexion en désactivant keep-alive, au lieu de réutiliser la connexion existante. Les demandes existantes ne sont pas affectées. |
| Raccordement forcé Fermer | Non applicable (action de règle interne que vous ne pouvez pas utiliser dans les substitutions). |
|
| DDoS Dynamique | Non applicable (action de règle interne que vous ne pouvez pas utiliser dans les substitutions). | Effectue une action spécifique conformément à un ensemble de lignes directrices internes définies par CIS. L'action exécutée peut être l'une des actions énumérées ou une autre action d'atténuation non divulguée. |
Niveau de sensibilité
Nom de la propriété API : sensitivity_level.
Le niveau de sensibilité définit l'agressivité avec laquelle la règle détecte les attaques en ajustant les seuils d'atténuation :
- Une sensibilité plus élevée utilise des seuils plus bas et détecte les attaques de manière plus agressive.
- Une sensibilité plus faible utilise des seuils plus élevés et est moins agressive.
Les niveaux de sensibilité disponibles sont les suivants :
| Valeur de l'interface utilisateur | Valeur de l'API |
|---|---|
| Elevé | default |
| Moyen | medium |
| Faible | low |
| Essentiellement désactivé | eoff |
Le niveau de sensibilité par défaut est élevé.
Lorsque vous sélectionnez Essentiellement désactivé, la règle ne déclenche généralement pas d'actions d'atténuation, y compris la consignation. Toutefois, si une attaque atteint une échelle exceptionnelle, les systèmes de protection CIS appliqueront toujours des mesures d'atténuation pour protéger le réseau CIS.
La sélection de Essentially Off permet de définir un niveau de sensibilité extrêmement bas. Dans la plupart des cas, le trafic n'est pas réduit, mais les attaques d'une ampleur exceptionnelle sont tout de même réduites afin de maintenir la stabilité du réseau.
La sensibilité permet de déterminer si le trafic est détecté comme une attaque. L'action contrôle ce qui se passe lorsqu'une attaque est détectée.
Lorsque vous sélectionnez Consigner, les demandes sont consignées et affichées dans le tableau de bord sans atténuation. Comme pour Essentially Off, les attaques d'une ampleur exceptionnelle sont toujours atténuées afin de protéger le réseau CIS.
Catégories de règles
Les règles gérées par HTTP DDoS Attack Protection sont regroupées dans les catégories suivantes (tags) en fonction du type de trafic et du comportement d'atténuation.
| Nom | Description |
|---|---|
botnets |
Règles qui détectent les demandes provenant de réseaux de zombies connus. Ces règles ont une très grande précision de détection et un faible risque de faux positifs. Il est recommandé de maintenir ces règles activées. |
unusual-requests |
Règles qui identifient les requêtes présentant des caractéristiques suspectes qui ne sont pas couramment observées dans le trafic légitime. |
advanced |
Règles associées aux fonctionnalités disponibles pour les clients Enterprise. |
generic |
Règles permettant de détecter et d'atténuer l'afflux de demandes. Ces règles sont efficaces contre les attaques sans signatures connues, mais elles peuvent également se déclencher en cas de volumes anormalement élevés de trafic légitime. Pour réduire le risque de faux positifs, ces règles utilisent un seuil d'activation plus élevé de demandes par seconde (rps). Par défaut, ces règles limitent le débit ou contestent le trafic, mais vous pouvez les remplacer pour bloquer le trafic si nécessaire. |
read-only |
Règles très ciblées conçues pour atténuer les attaques DDoS avec un taux de confiance élevé. Ces règles se trouvent à l'adresse suivante : read-only. Vous ne pouvez pas modifier leur niveau de sensibilité ou leur action. |
test |
Règles utilisées pour tester les capacités de détection, d'atténuation et d'alerte des produits de protection CIS DDoS. |