Détection et mitigation DDoS WanGuard – déployées et optimisées par ITORO
WanGuard d'Andrisoft est un système anti-DDoS de classe opérateur qui détecte les attaques en quelques secondes et les mitige avec BGP FlowSpec, le black-holing RTBH, ou redirige les attaques DDoS hypervolumétriques vers un centre de scrubbing. En tant que Andrisoft Gold Partner, ITORO l'installe, l'optimise et l'exploite pour les ISP / DC et les entreprises du monde entier.
Au-delà d'environ 65 s, les uplinks saturent – à ce stade, les utilisateurs ont déjà perdu l'accès. Tout se joue sur la rapidité.
Une plateforme complète de protection DDoS
WanGuard combine la surveillance du trafic à haut débit, la détection d'anomalies et la mitigation automatisée dans un seul système on-premise que vous contrôlez entièrement. Nous pouvons activer une mitigation tierce comme le fail-over vers un centre de scrubbing, une protection Web Application Firewall (WAF) ou d'autres couches pour bâtir une protection multi-vecteur.
WanGuard Sensor
Ingère les paquets port-mirror ou NetFlow/sFlow, établit des références de trafic par IP et détecte les attaques volumétriques et protocolaires en moins de 5 secondes.
WanGuard Filter / WanFilter
Le filtrage de paquets accéléré par DPDK ne nettoie que le trafic malveillant – passant de 1 Gbit/s à 800 Gbit/s par port de sensor sans supprimer le trafic légitime.
WanGuard Console
Gestion centralisée, tableaux de bord, reporting et alertes avec analytique sFlow/IPFIX/NetFlow à long terme et planification de capacité.
Réponse rapide
FlowSpec diffuse les règles de filtrage à l'échelle du réseau en quelques secondes, stoppant les attaques avant qu'elles n'atteignent leurs cibles.
Filtrage précis
Les règles ciblent le trafic malveillant par IP, protocole, port et caractéristiques des paquets – le trafic légitime passe sans être affecté.
Fonctionne sur vos routeurs
Utilise les routeurs compatibles BGP existants (Cisco, Juniper, Arista, Huawei, Nokia) – aucun appliance dédié à acheter.
Évolutif
Appliqué globalement ou à des segments réseau sélectionnés ; évolue avec votre infrastructure BGP existante.
Déploiement sans interruption
ITORO déploie BGP FlowSpec sans fenêtre de maintenance – aucune interruption de service pendant l'installation.
Coût réduit
Exploite vos routeurs au lieu d'un matériel DDoS dédié, réduisant le coût total de possession.
Conçu pour les attaques que les ISP rencontrent réellement
WanGuard, optimisé par ITORO, protège contre toute la gamme des attaques DDoS volumétriques et protocolaires – les catégories ci-dessous couvrent la grande majorité des incidents réels.
Floods volumétriques
Floods UDP, ICMP et IP à haut débit qui tentent de saturer vos uplinks.
Amplification / réflexion
NTP, DNS, CLDAP, CHARGEN, SSDP, memcached, SNMP et vecteurs réfléchis similaires.
Carpet-bomb
Attaques réparties sur de nombreuses IP de destination d'un préfixe – détectées par IP, et pas seulement par service.
Fragmentation
Floods de fragments IP/UDP conçus pour échapper aux systèmes basés sur le flow échantillonné.
Épuisement d'état TCP
Attaques SYN, ACK et connection-flood contre les équipements à états.
DNS & couche applicative
Les floods de requêtes DNS sont mitigés (sécurité DNS via DNSdist). Les attaques applicatives (L7), nous les supprimons ou limitons en débit plutôt que de les stopper totalement – WanGuard assure une mitigation volumétrique L3/L4, ce n'est pas un pare-feu applicatif web.
RTBH, BGP FlowSpec et WanFilter – le bon outil pour chaque attaque
Filtrage BGP FlowSpec
Filtrage granulaire à la vitesse du matériel, poussé directement sur les cartes de ligne Cisco/Juniper/Arista – ne supprime que le trafic d'attaque, maintenant le service en ligne.
Black-holing RTBH
Le Remotely Triggered Black Hole supprime tout le trafic vers une IP ciblée chez vos upstreams – la solution de repli lorsqu'une attaque est trop importante pour un filtrage granulaire.
Scrubbing WanFilter
Scrubbing chirurgical de paquets DPDK, déployé inline ou en filtre off-ramp. Utilisez-le lorsque vos routeurs ne prennent pas en charge BGP FlowSpec, ou comme couche de filtrage supplémentaire par-dessus FlowSpec – protégeant des services spécifiques plutôt que de black-holer toute l'IP.
Automatisation en couches
FlowSpec/WanFilter d'abord, RTBH en repli lorsque les uplinks approchent de la saturation – entièrement automatique, avec alertes vers votre NOC.
La mitigation a ses limites – et nous sommes honnêtes à ce sujet
La capacité de votre uplink est le plafond absolu – nous ne pouvons pas filtrer plus que ce que le lien transporte.
Ce que nous mitigeons
- Tout ce sur quoi WanGuard + Juniper MX peuvent agir – dans la limite de la bande passante de votre uplink.
- Filtrage MX sans état, toujours actif : anti-spoofing, anti-amplification, rate-limits, CoPP.
- BGP FlowSpec dynamique et RTBH activés dès qu'une attaque est détectée.
- Le filtrage granulaire maintient votre client en ligne – RTBH uniquement en dernier recours.
Où nous escaladons – en toute honnêteté
- La mitigation est limitée par la capacité de l'uplink – nous ne pouvons pas filtrer plus que ce que le lien transporte.
- BGP FlowSpec ne bloque que ce qu'une règle peut exprimer – certains floods aléatoires ou adaptatifs ne peuvent pas être filtrés.
- Lorsque le trafic dépasse votre uplink ou ne peut pas être filtré, nous escaladons vers un centre de scrubbing externe à l'échelle du térabit.
- Nous vous disons d'emblée ce que nous ne pouvons pas bloquer – c'est notre marque, pas une clause de non-responsabilité.
Un Andrisoft Gold Partner qui exploite WanGuard au quotidien
- Installation complète, optimisation BIOS/OS/NIC et formation du personnel.
- Des seuils réalistes par IP qui détectent les attaques sans faux positifs.
- BGP, RTBH et FlowSpec configurés sur vos routeurs et vos upstreams.
- Le support managé fait toujours partie du déploiement – de la couverture e-mail NBD à l'administration entièrement externalisée. La première année est incluse avec le produit.
Déploiement, de bout en bout
Les étapes exactes qu'ITORO suit pour vous faire passer de serveurs vierges à un déploiement WanGuard optimisé et en production.
Transparent, à partir de 2 500 € une seule fois
Deux scénarios standard couvrent la plupart des déploiements. Déploiement unique (le premier serveur inclut l'installation, la formation et un mois d'optimisation) ; les licences WanGuard sont annuelles. Établissez un devis détaillé complet dans le calculateur.
RTBH uniquement – le moyen le plus rapide et le moins cher de stopper les attaques volumétriques par black-holing de la cible.
- Sensor port-mirror 2×10GE, détection <5 s
- BGP RTBH sur vos routeurs/upstreams
- Mitigation par blackhole uniquement
RTBH + BGP FlowSpec – filtrage granulaire qui maintient le service en ligne, avec RTBH en repli.
- Tout ce qui figure dans le Scénario 1
- Filtrage granulaire BGP FlowSpec + WanFilter
- Évolue vers des sensors 40/100/400GE
Questions fréquentes
WanGuard est-il meilleur que la protection DDoS dans le cloud ?
WanGuard est on-premise : le trafic ne quitte jamais votre réseau, la détection est plus rapide et le coût est prévisible. Il complète le scrubbing cloud en amont pour les très grosses attaques volumétriques.
À quelle vitesse WanGuard détecte-t-il une attaque DDoS ?
Avec la détection port-mirror, généralement de 2 à 5 secondes ; avec NetFlow/sFlow, de 35 à 95 secondes selon les intervalles d'export.
De quel matériel ai-je besoin ?
Un routeur compatible BGP, un switch ou routeur capable d'exporter des flows (sFlow, NetFlow, IPFIX) ou de mirrorer le trafic, et – pour un sensor port-mirror – un serveur dimensionné à la vitesse du port à mirrorer, de 1 à 400 Gbit/s. ITORO recommande la spécification exacte.
ITORO peut-il exploiter WanGuard pour nous ?
Oui – nos niveaux de support Gold/Platinum couvrent la surveillance, l'ajustement des seuils, les modifications et même l'administration complète.
Faut-il déployer en inline ou en out-of-band ?
Notre méthode privilégiée est le out-of-band (off-ramp) avec un VRF de filtrage – la détection et le scrubbing ne se trouvent jamais en permanence dans le chemin de données, il n'y a donc rien qui puisse tomber en panne. Un filtre inline est également pris en charge, mais il présente un inconvénient : placé dans un bridge ou directement dans le chemin de données, un redémarrage ou un événement de service peut brièvement affecter le trafic. Le filtrage off-ramp évite cela entièrement.
Combien de temps prend le déploiement ?
Un premier serveur inclut l'installation, l'optimisation BIOS/OS/NIC, la formation et un mois d'ajustement. En pratique, la plupart des déploiements sont opérationnels en une à deux semaines – à condition que l'équipement, le serveur et le BGP soient prêts et que votre équipe ait le temps pour la formation. Nous pouvons aussi déployer pendant que vous êtes sous attaque active ; cela implique parfois de monter la protection via un chemin de données alternatif (par exemple un lien cellulaire) pour atteindre le data center ou l'ISP visé.
Comment gère-t-il les attaques chiffrées (TLS) ?
Les attaques TLS relèvent de la couche 7. WanGuard opère aux couches 3/4 – BGP FlowSpec, black-holing RTBH et FlowSpec en périphérie – et n'inspecte pas les charges utiles chiffrées sans certificats installés. Ce n'est pas un pare-feu applicatif web ; c'est un logiciel de mitigation DDoS volumétrique qui absorbe le flood en fonction du comportement du trafic (débit, sources, caractéristiques des paquets).
S'intègre-t-il à notre infrastructure existante ?
Oui. WanGuard pilote vos routeurs compatibles BGP existants (Juniper, Cisco, Arista, Huawei, Nokia) – sans remplacement complet. Un Juniper MX constitue une excellente passerelle de filtrage always-on à la vitesse du lien, et la télémétrie en streaming de Juniper alimente Grafana pour la visibilité – tous deux disponibles comme produits additionnels dans notre portefeuille.
Peut-il évoluer à mesure que notre bande passante augmente ?
Les sensors évoluent de 2×10GE à 400GE par serveur, vous pouvez ajouter des sensors et des POP, et la détection flow/sFlow évolue jusqu'au térabit sur de nombreux routeurs. La mitigation via BGP FlowSpec s'exécute à la vitesse de ligne de vos routeurs.
Comment le coût se compare-t-il au scrubbing cloud ?
WanGuard représente un déploiement unique plus des licences annuelles et un support optionnel – sans frais de scrubbing au Gbit/s qui explosent avec l'ampleur de l'attaque. Les coûts sont prévisibles et votre trafic ne quitte jamais votre réseau.
Quelle visibilité obtenons-nous au-delà des alertes d'attaque ?
Des tableaux de bord en direct, des rapports par incident et une analytique à long terme – ainsi qu'une télémétrie Juniper MX optionnelle vers Grafana pour des vues en temps réel de la périphérie et de la mitigation que votre NOC peut surveiller pendant une attaque. Le reporting réglementaire (NIS2) est cadré et adapté aux exigences de votre pays dans le cadre du pack d'urgence ITORO, convenu avec le service commercial.
Quels types d'attaques DDoS peut-il stopper ?
Floods volumétriques (UDP/ICMP), amplification/réflexion (NTP, DNS, CLDAP, memcached et plus), carpet-bomb, fragmentation, épuisement d'état TCP (SYN) et floods DNS. Le trafic applicatif (L7) est supprimé ou limité en débit plutôt que totalement stoppé. Pour en savoir plus, contactez le service commercial.
Prêt à stopper les attaques DDoS avant qu'elles ne frappent ?
Obtenez un déploiement WanGuard dimensionné et optimisé pour votre réseau.
Contacter ITORO