WanGuard Anti-DDoS

Détection et mitigation DDoS WanGuard – déployées et optimisées par ITORO

WanGuard d'Andrisoft est un système anti-DDoS de classe opérateur qui détecte les attaques en quelques secondes et les mitige avec BGP FlowSpec, le black-holing RTBH, ou redirige les attaques DDoS hypervolumétriques vers un centre de scrubbing. En tant que Andrisoft Gold Partner, ITORO l'installe, l'optimise et l'exploite pour les ISP / DC et les entreprises du monde entier.

2–5s
Détection par port-mirror
Basée sur le mirroring, DPDK
15–30s
Mitigation de bout en bout
RTBH / FlowSpec, optimisés
35–95s
Autres systèmes
sFlow / NetFlow / IPFIX

Au-delà d'environ 65 s, les uplinks saturent – à ce stade, les utilisateurs ont déjà perdu l'accès. Tout se joue sur la rapidité.

Voir les tarifs Parlez à un ingénieur

Qu'est-ce que WanGuard

Une plateforme complète de protection DDoS

WanGuard combine la surveillance du trafic à haut débit, la détection d'anomalies et la mitigation automatisée dans un seul système on-premise que vous contrôlez entièrement. Nous pouvons activer une mitigation tierce comme le fail-over vers un centre de scrubbing, une protection Web Application Firewall (WAF) ou d'autres couches pour bâtir une protection multi-vecteur.

WanGuard Sensor

Ingère les paquets port-mirror ou NetFlow/sFlow, établit des références de trafic par IP et détecte les attaques volumétriques et protocolaires en moins de 5 secondes.

WanGuard Filter / WanFilter

Le filtrage de paquets accéléré par DPDK ne nettoie que le trafic malveillant – passant de 1 Gbit/s à 800 Gbit/s par port de sensor sans supprimer le trafic légitime.

WanGuard Console

Gestion centralisée, tableaux de bord, reporting et alertes avec analytique sFlow/IPFIX/NetFlow à long terme et planification de capacité.

Comment ça fonctionne
WanGuard avec RTBH ou BGP FlowSpec : une mise à jour BGP avec des règles de pare-feu FlowSpec est envoyée à vos routeurs afin que le trafic d'attaque correspondant soit supprimé aux interfaces uplink (ou chez votre fournisseur Tier 1-2) avant d'atteindre votre réseau ; WanGuard détecte via port-mirror/sFlow, et RTBH ou FlowSpec en périphérie peuvent aussi être envoyés en amont.

Réponse rapide

FlowSpec diffuse les règles de filtrage à l'échelle du réseau en quelques secondes, stoppant les attaques avant qu'elles n'atteignent leurs cibles.

Filtrage précis

Les règles ciblent le trafic malveillant par IP, protocole, port et caractéristiques des paquets – le trafic légitime passe sans être affecté.

Fonctionne sur vos routeurs

Utilise les routeurs compatibles BGP existants (Cisco, Juniper, Arista, Huawei, Nokia) – aucun appliance dédié à acheter.

Évolutif

Appliqué globalement ou à des segments réseau sélectionnés ; évolue avec votre infrastructure BGP existante.

Déploiement sans interruption

ITORO déploie BGP FlowSpec sans fenêtre de maintenance – aucune interruption de service pendant l'installation.

Coût réduit

Exploite vos routeurs au lieu d'un matériel DDoS dédié, réduisant le coût total de possession.

Les attaques que nous stoppons

Conçu pour les attaques que les ISP rencontrent réellement

WanGuard, optimisé par ITORO, protège contre toute la gamme des attaques DDoS volumétriques et protocolaires – les catégories ci-dessous couvrent la grande majorité des incidents réels.

Floods volumétriques

Floods UDP, ICMP et IP à haut débit qui tentent de saturer vos uplinks.

Amplification / réflexion

NTP, DNS, CLDAP, CHARGEN, SSDP, memcached, SNMP et vecteurs réfléchis similaires.

Carpet-bomb

Attaques réparties sur de nombreuses IP de destination d'un préfixe – détectées par IP, et pas seulement par service.

Fragmentation

Floods de fragments IP/UDP conçus pour échapper aux systèmes basés sur le flow échantillonné.

Épuisement d'état TCP

Attaques SYN, ACK et connection-flood contre les équipements à états.

DNS & couche applicative

Les floods de requêtes DNS sont mitigés (sécurité DNS via DNSdist). Les attaques applicatives (L7), nous les supprimons ou limitons en débit plutôt que de les stopper totalement – WanGuard assure une mitigation volumétrique L3/L4, ce n'est pas un pare-feu applicatif web.

Méthodes de mitigation

RTBH, BGP FlowSpec et WanFilter – le bon outil pour chaque attaque

Filtrage BGP FlowSpec

Filtrage granulaire à la vitesse du matériel, poussé directement sur les cartes de ligne Cisco/Juniper/Arista – ne supprime que le trafic d'attaque, maintenant le service en ligne.

Black-holing RTBH

Le Remotely Triggered Black Hole supprime tout le trafic vers une IP ciblée chez vos upstreams – la solution de repli lorsqu'une attaque est trop importante pour un filtrage granulaire.

Scrubbing WanFilter

Scrubbing chirurgical de paquets DPDK, déployé inline ou en filtre off-ramp. Utilisez-le lorsque vos routeurs ne prennent pas en charge BGP FlowSpec, ou comme couche de filtrage supplémentaire par-dessus FlowSpec – protégeant des services spécifiques plutôt que de black-holer toute l'IP.

Automatisation en couches

FlowSpec/WanFilter d'abord, RTBH en repli lorsque les uplinks approchent de la saturation – entièrement automatique, avec alertes vers votre NOC.

Périmètre honnête · ce que nous pouvons & ne pouvons pas bloquer

La mitigation a ses limites – et nous sommes honnêtes à ce sujet

Dans la limite de votre uplinkFiltré on-net – WanGuard + Juniper MX · BGP FlowSpec · RTBH
Au-delà du tuyauRedirection vers un scrubbing externe

La capacité de votre uplink est le plafond absolu – nous ne pouvons pas filtrer plus que ce que le lien transporte.

Ce que nous mitigeons

  • Tout ce sur quoi WanGuard + Juniper MX peuvent agir – dans la limite de la bande passante de votre uplink.
  • Filtrage MX sans état, toujours actif : anti-spoofing, anti-amplification, rate-limits, CoPP.
  • BGP FlowSpec dynamique et RTBH activés dès qu'une attaque est détectée.
  • Le filtrage granulaire maintient votre client en ligne – RTBH uniquement en dernier recours.

Où nous escaladons – en toute honnêteté

  • La mitigation est limitée par la capacité de l'uplink – nous ne pouvons pas filtrer plus que ce que le lien transporte.
  • BGP FlowSpec ne bloque que ce qu'une règle peut exprimer – certains floods aléatoires ou adaptatifs ne peuvent pas être filtrés.
  • Lorsque le trafic dépasse votre uplink ou ne peut pas être filtré, nous escaladons vers un centre de scrubbing externe à l'échelle du térabit.
  • Nous vous disons d'emblée ce que nous ne pouvons pas bloquer – c'est notre marque, pas une clause de non-responsabilité.
Pourquoi ITORO

Un Andrisoft Gold Partner qui exploite WanGuard au quotidien

  • Installation complète, optimisation BIOS/OS/NIC et formation du personnel.
  • Des seuils réalistes par IP qui détectent les attaques sans faux positifs.
  • BGP, RTBH et FlowSpec configurés sur vos routeurs et vos upstreams.
  • Le support managé fait toujours partie du déploiement – de la couverture e-mail NBD à l'administration entièrement externalisée. La première année est incluse avec le produit.

Déploiement, de bout en bout

Les étapes exactes qu'ITORO suit pour vous faire passer de serveurs vierges à un déploiement WanGuard optimisé et en production.

Installation
Installer les logiciels WanGuard Console, Sensor et Filter (le Filter est livré avec le Sensor).
Installer une carte de filtrage de trafic sur les serveurs de filtrage.
Optimiser le système Debian : gouverneur CPU, ordonnanceur de disque, paramètres sysctl, GRUB.
Paramètres WanGuard
Connecter les composants WanGuard sur le serveur principal (Sensor / Filter).
Configuration de WanGuard Filter : paramètres de filtration et protection supplémentaire contre la saturation du lien (service additionnel).
Ajouter les sous-réseaux IP du client et définir les seuils d'attaque DDoS.
Phase finale
Filtrage du trafic, puis RTBH en action de dernier recours.
Configurer les notifications e-mail, les rapports et les alertes de WanGuard.
Définir les seuils initiaux de filtrage du trafic (consultation du client requise).
Archivage scripté du système WanGuard, avec une copie sur le serveur ITORO (option pour les clients disposant de packs de support ITORO).
Formation des opérateurs : exploitation du système, interprétation des alertes et gestion quotidienne.
Mise en production

Voir les tarifs

Tarifs

Transparent, à partir de 2 500 € une seule fois

Deux scénarios standard couvrent la plupart des déploiements. Déploiement unique (le premier serveur inclut l'installation, la formation et un mois d'optimisation) ; les licences WanGuard sont annuelles. Établissez un devis détaillé complet dans le calculateur.

Scénario 1 · entrée de gamme
à partir de 2 500 €

RTBH uniquement – le moyen le plus rapide et le moins cher de stopper les attaques volumétriques par black-holing de la cible.

  • Sensor port-mirror 2×10GE, détection <5 s
  • BGP RTBH sur vos routeurs/upstreams
  • Mitigation par blackhole uniquement
Scénario 2 · standard
à partir de 3 000 €

RTBH + BGP FlowSpec – filtrage granulaire qui maintient le service en ligne, avec RTBH en repli.

  • Tout ce qui figure dans le Scénario 1
  • Filtrage granulaire BGP FlowSpec + WanFilter
  • Évolue vers des sensors 40/100/400GE

Ouvrir la tarification complète & le calculateur

WanGuard FAQ

Questions fréquentes

WanGuard est-il meilleur que la protection DDoS dans le cloud ?

WanGuard est on-premise : le trafic ne quitte jamais votre réseau, la détection est plus rapide et le coût est prévisible. Il complète le scrubbing cloud en amont pour les très grosses attaques volumétriques.

À quelle vitesse WanGuard détecte-t-il une attaque DDoS ?

Avec la détection port-mirror, généralement de 2 à 5 secondes ; avec NetFlow/sFlow, de 35 à 95 secondes selon les intervalles d'export.

De quel matériel ai-je besoin ?

Un routeur compatible BGP, un switch ou routeur capable d'exporter des flows (sFlow, NetFlow, IPFIX) ou de mirrorer le trafic, et – pour un sensor port-mirror – un serveur dimensionné à la vitesse du port à mirrorer, de 1 à 400 Gbit/s. ITORO recommande la spécification exacte.

ITORO peut-il exploiter WanGuard pour nous ?

Oui – nos niveaux de support Gold/Platinum couvrent la surveillance, l'ajustement des seuils, les modifications et même l'administration complète.

Faut-il déployer en inline ou en out-of-band ?

Notre méthode privilégiée est le out-of-band (off-ramp) avec un VRF de filtrage – la détection et le scrubbing ne se trouvent jamais en permanence dans le chemin de données, il n'y a donc rien qui puisse tomber en panne. Un filtre inline est également pris en charge, mais il présente un inconvénient : placé dans un bridge ou directement dans le chemin de données, un redémarrage ou un événement de service peut brièvement affecter le trafic. Le filtrage off-ramp évite cela entièrement.

Combien de temps prend le déploiement ?

Un premier serveur inclut l'installation, l'optimisation BIOS/OS/NIC, la formation et un mois d'ajustement. En pratique, la plupart des déploiements sont opérationnels en une à deux semaines – à condition que l'équipement, le serveur et le BGP soient prêts et que votre équipe ait le temps pour la formation. Nous pouvons aussi déployer pendant que vous êtes sous attaque active ; cela implique parfois de monter la protection via un chemin de données alternatif (par exemple un lien cellulaire) pour atteindre le data center ou l'ISP visé.

Comment gère-t-il les attaques chiffrées (TLS) ?

Les attaques TLS relèvent de la couche 7. WanGuard opère aux couches 3/4 – BGP FlowSpec, black-holing RTBH et FlowSpec en périphérie – et n'inspecte pas les charges utiles chiffrées sans certificats installés. Ce n'est pas un pare-feu applicatif web ; c'est un logiciel de mitigation DDoS volumétrique qui absorbe le flood en fonction du comportement du trafic (débit, sources, caractéristiques des paquets).

S'intègre-t-il à notre infrastructure existante ?

Oui. WanGuard pilote vos routeurs compatibles BGP existants (Juniper, Cisco, Arista, Huawei, Nokia) – sans remplacement complet. Un Juniper MX constitue une excellente passerelle de filtrage always-on à la vitesse du lien, et la télémétrie en streaming de Juniper alimente Grafana pour la visibilité – tous deux disponibles comme produits additionnels dans notre portefeuille.

Peut-il évoluer à mesure que notre bande passante augmente ?

Les sensors évoluent de 2×10GE à 400GE par serveur, vous pouvez ajouter des sensors et des POP, et la détection flow/sFlow évolue jusqu'au térabit sur de nombreux routeurs. La mitigation via BGP FlowSpec s'exécute à la vitesse de ligne de vos routeurs.

Comment le coût se compare-t-il au scrubbing cloud ?

WanGuard représente un déploiement unique plus des licences annuelles et un support optionnel – sans frais de scrubbing au Gbit/s qui explosent avec l'ampleur de l'attaque. Les coûts sont prévisibles et votre trafic ne quitte jamais votre réseau.

Quelle visibilité obtenons-nous au-delà des alertes d'attaque ?

Des tableaux de bord en direct, des rapports par incident et une analytique à long terme – ainsi qu'une télémétrie Juniper MX optionnelle vers Grafana pour des vues en temps réel de la périphérie et de la mitigation que votre NOC peut surveiller pendant une attaque. Le reporting réglementaire (NIS2) est cadré et adapté aux exigences de votre pays dans le cadre du pack d'urgence ITORO, convenu avec le service commercial.

Quels types d'attaques DDoS peut-il stopper ?

Floods volumétriques (UDP/ICMP), amplification/réflexion (NTP, DNS, CLDAP, memcached et plus), carpet-bomb, fragmentation, épuisement d'état TCP (SYN) et floods DNS. Le trafic applicatif (L7) est supprimé ou limité en débit plutôt que totalement stoppé. Pour en savoir plus, contactez le service commercial.

Prêt à stopper les attaques DDoS avant qu'elles ne frappent ?

Obtenez un déploiement WanGuard dimensionné et optimisé pour votre réseau.

Contacter ITORO