Bot Defense - Architecture
Description
Bot Defense est un produit en libre service disponible sur votre instance pour protéger votre site web contre les attaques DDoS et les attaques Bot.
Caractéristiques
Cette section énumère les actions disponibles pour le client, ainsi que la manière de les demander ou de les exécuter :
Libre service | Le client peut effectuer une action de manière autonome. |
Sur demande | Le client peut demander à l'équipe de support de cegedim.cloud de prendre les mesures nécessaires. |
| Caractéristiques | Libre service | Sur demande | Commentaires |
|---|---|---|---|
Activer/Désactiver | Le client peut activer ou désactiver la défense du Bot. | ||
Ajouter / Supprimer une adresse IP sur la whitelist | Le client peut ajouter ou supprimer une adresse IP dans la whitelist. | ||
Choisir son type de profil | Le client opte pour un profil strict ou standard. | ||
Modifier la configuration | Sur demande via un ticket. |
Protection contre le DDoS
La protection DDoS est basée sur un calcul de taux de transaction côté client (basé sur les TPS) ou sur la latence côté serveur ("Stress based detection").
Détection basée sur les TPS
La détection basée sur le "TPS" ( transactions par seconde) se situe côté "client". Suivant le seuil de requêtes par seconde, le DDoS protection va venir bloquer les tentatives DDoS.
Détection basée sur le stress
Le "Stress-based detection" permet de détecter le ralentissement du serveur. Cela offre une couche de protection plus précise grâce aux seuils de latence et de requêtes par seconde.
Le produit offre deux types de protection contre les attaques DDoS ou bot :
Le profil standard, comprenant une phase d'apprentissage. Les seuils de détection sont calculés automatiquement.
| Seuil TPS | Mitigation |
|---|---|
Seuil calculé automatiquement | La première mesure d'atténuation est un captcha. Si le captcha n'est pas résolu, toutes les tentatives seront bloquées. |
Le profil strict, ne nécessitant pas de phase d'apprentissage, avec des seuils plus restrictifs, bloquera un grand nombre de tentatives. Il limitera également un grand nombre de tentatives en provenance de pays sensibles.
| Seuil TPS | Mitigation |
|---|---|
200 TPS atteints | Blocage des demandes avec limitation du débit |
Bot Defense
Les bots peuvent être classés de plusieurs façons : les bots simples ou les bots malveillants.
Simple bot
Good bot
Impersonating bot
Acting as a full browser bot
Bot Defense offre deux types de protection contre les attaques DDoS ou bot :
Le profil standard, basé sur un profil générique adapté à la majorité des sites web, avec le moins d'impact possible sur le site concerné. Les seuils de détection des attaques DDoS, par exemple, sont calculés automatiquement. Déconseillé si des attaques DDoS sont en cours.
Le profil strict, basé sur un profil plus restrictif, qui peut être déployé rapidement lors d'une attaque. Ses paramètres plus fins sont conçus pour bloquer un plus grand nombre de requêtes. La protection contre les attaques DoS intègre un mécanisme de géolocalisation qui, en cas d'attaque, bloque les requêtes malveillantes en fonction du pays d'origine. Ce profil peut entraîner l'apparition de faux positifs et nécessite donc une surveillance accrue lorsqu'il est mis en œuvre.
Par ailleurs, en fonction du type de bot lors d'une attaque DDoS, il atténuera :
| Type de Bot | Mitigation |
|---|---|
Bot non fiable | Bloqué |
Navigateur suspect | Bloqué |
Bot malveillant | Bloqué |
Sécurité
Les logs sont sécurisés dans Splunk et gérés dans ITCare.
Gestion des logs
Dans l'onglet "Bot Defense" sur ITCare, il existe un tableau de bord spécifique pour avoir une visibilité sur votre trafic.
Dernière mise à jour
