Bot Defense - Architecture

Description

Bot Defense est un produit en libre service disponible sur votre instance pour protéger votre site web contre les attaques DDoS et les attaques Bot.

Caractéristiques

Cette section énumère les actions disponibles pour le client, ainsi que la manière de les demander ou de les exécuter :

Protection contre le DDoS

La protection DDoS est basée sur un calcul de taux de transaction côté client (basé sur les TPS) ou sur la latence côté serveur ("Stress based detection").

Détection basée sur les TPS

La détection basée sur le "TPS" ( transactions par seconde) se situe côté "client". Suivant le seuil de requêtes par seconde, le DDoS protection va venir bloquer les tentatives DDoS.

Détection basée sur le stress

Le "Stress-based detection" permet de détecter le ralentissement du serveur. Cela offre une couche de protection plus précise grâce aux seuils de latence et de requêtes par seconde.

Le produit offre deux types de protection contre les attaques DDoS ou bot :

  • Le profil standard, comprenant une phase d'apprentissage. Les seuils de détection sont calculés automatiquement.

  • Le profil strict, ne nécessitant pas de phase d'apprentissage, avec des seuils plus restrictifs, bloquera un grand nombre de tentatives. Il limitera également un grand nombre de tentatives en provenance de pays sensibles.

Bot Defense

Les bots peuvent être classés de plusieurs façons : les bots simples ou les bots malveillants.

Simple bot

Good bot

Impersonating bot

Acting as a full browser bot

Bot Defense offre deux types de protection contre les attaques DDoS ou bot :

  • Le profil standard, basé sur un profil générique adapté à la majorité des sites web, avec le moins d'impact possible sur le site concerné. Les seuils de détection des attaques DDoS, par exemple, sont calculés automatiquement. Déconseillé si des attaques DDoS sont en cours.

  • Le profil strict, basé sur un profil plus restrictif, qui peut être déployé rapidement lors d'une attaque. Ses paramètres plus fins sont conçus pour bloquer un plus grand nombre de requêtes. La protection contre les attaques DoS intègre un mécanisme de géolocalisation qui, en cas d'attaque, bloque les requêtes malveillantes en fonction du pays d'origine. Ce profil peut entraîner l'apparition de faux positifs et nécessite donc une surveillance accrue lorsqu'il est mis en œuvre.

Par ailleurs, en fonction du type de bot lors d'une attaque DDoS, il atténuera :

Sécurité

Les logs sont sécurisés dans Splunk et gérés dans ITCare.

Gestion des logs

Dans l'onglet "Bot Defense" sur ITCare, il existe un tableau de bord spécifique pour avoir une visibilité sur votre trafic.

Last updated