Atténuation

Deflect protects your website from a multitude of cyber attacks, including distributed denial of service (DDoS), brute force attacks against your login password, connection hijacking and much else. To achieve this level of protection we employ sensitive monitoring tools and various mitigation methods.

  • Banjax is responsible for early stage filtering, challenging and banning of bots, identified via regular expression (regex) matching, in conjunction with the Swabber module.
  • Swabber is a daemon for banning and unbanning IP addresses.
  • Edgemanage monitors Deflect edges health and rotates them in and out of our clients” DNS records.
  • Opsdash is an ElasticSearch cluster where the majority of Deflect’s traffic data is stored and queried.
  • Baskerville is a network traffic anomaly detector, for use in identifying and characterising malicious IP behaviour.

We’ve developed and pieced together these tools in order for our clients and the Deflect network to be resilient to any type of brute force attacks. They also help us gather, store and analyze information on attacks and attachers, building historical profiles and improving behaviour analysis of network traffic.

Herein we describe, in brief, how the Deflect network can be resilient to web attacks and how users can secure their own website behind Deflect.

  • Deflect infrastructure
  • Monitoring
  • Authentication
  • Outil de test

Deflect infrastructure

Deflect is built on decentralization, with rented infrastructure in dozens of datacenters around the world. This approach offers flexibility and avoids central points of failure. Over the years we have worked with many providers and select the best among them by hardware specifications and network access, as well as their internal operating policies. We are keen to reduce the carbon footprint of our infrastructure and are continuously looking for datacenters powered by sustainable energy sources.

Due to our dynamic infrastructure model, we provision all machines with filesystem-level encryption.

Provider HQ Country Datacenters Countries
Hetzner Allemagne FSN1-DC10, FSN1-DC6 Allemagne
Limestone U.S.A. L.A., Dallas U.S.A.
OneProvider Canada Amsterdam, Dusseldorf, London, New York Germany, Netherlands, U.K., U.S.A.
OVH France ERI1 U.K.
SeFlow Italy Milan Italy
SoYouStart France BHS2, ERI1, RBX4, RBX2 France, U.K., Canada
Veeble Netherlands NL, U.K. Netherlands, U.K.

Monitoring

At its core, the Deflect network is capable of logging information about any and all aspects of web traffic destined for our clients” websites (this includes traffic over SSL). This means that for each visitor accessing the Deflect network it is possible to record or otherwise ascertain:

  • Site accessed
  • Browser user agent
  • Deflect server queried
  • Time of request
  • Response code to the request
  • Cache status of the request
  • IP address, ASN of the requester
  • User device

This information is fed into Opsdash and Baskerville. It allows our clients to see traffic statistics in their dashboard profile, including detailed information on legitimate and banned requests.

Authentication

Quand votre site Web se trouve derrière Deflect, les requêtes de nouvelles pages proviendront de nos serveurs de mise en cache. Cela signifie qu’elles pourraient remonter à plusieurs minutes et ne pas refléter les toutes dernières mises à jour. Cela n’est pas idéal quand vous modifiez le site Web et devez voir les mises à jour immédiatement. Deflect propose une façon particulière de vous authentifier auprès du système et d’accéder à votre site Web sans mise en cache. Nous l’appelons l’authentification Banjax. Une fois que vous aurez créé le mot de passe dans le :doc:`tableau de bord <dashboard_walkthrough/step2_admin_credentials>, la page de connexion de votre site Web (p.e. /wp-admin, /login, /administrator, etc.) apparaît comme suit :

Banjax Authentication

Authentification Banjax

Only those in possession of the authentication password will be able to proceed. This has an extra side effect of protecting your website’s editorial login from password brute-force attacks.

Outil de test

Quand une attaque par saturation n’est pas automatiquement atténuée par les règles de Deflect et commence à avoir un impact négatif sur votre serveur, vous pouvez activer le filtre de l’outil de test. Il aidera Deflect à distinguer les vrais lecteurs du site Web (qui utilisent un navigateur Web) des bots automatisés. L’outil de test accomplit cette distinction en servant un test mathématique en JavaScript à quiconque accède au site Web. Le navigateur résout le test et renvoie leur réponse. Le bot ne peut pas le faire. Une fois qu’un test a été résolu, Deflect retourne un témoin au navigateur du lecteur. Aucun test supplémentaire ne sera exigé de ce lecteur pendant 24 heures.

_images/deflect_challenge.gif

Renseignements pour les lecteurs de site Web

Afin de recevoir et de traiter un test avec succès, JavaScript devra être activé dans votre navigateur. Si vous utilisez un bloqueur de JavaScript comme « NoScript », par exemple, un message d’erreur vous sera présenté vous informant que JavaScript est bloqué et devrait être activé :

NoScript blocking JavaScript on the Black Lives Matter website

NoScript qui bloque JavaScript sur le site Web de « Black Lives Matter »

Renseignements pour les clients de Deflect

L’outil de test est une mesure de défense robuste. Il ne bloquera pas seulement tout le trafic malveillant, mais aussi le trafic considéré conforme. Les robots d’indexation pourraient ainsi ne plus accéder à votre site Web. Utilisez l’outil de test en dernier recours. Nous avons mis sur liste blanche les robots d’indexation et les plages d’adresses IPv4 suivantes pour garantir que les sites Web protégés par l’outil de test puissent quand même être indexés :

# Robot d’indexation de Google

# Serveurs NPI de PayPal

# Facebook

# Test

Site Web ou robot d’indexation bannis?

Si le filtre de l’outil de test bloque votre site Web ou un robot d’indexation, nous pouvons mettre votre adresse IP sur liste blanche. Veuillez envoyer une demande à l’équipe Deflect et fournir les renseignements suivants :

  • Nom de votre organisation et une brève description de votre travail
  • Lien ou adresse IP / plages

Si votre demande est conforme, nous ajouterons votre site Web ou robot d’indexation à la liste blanche.

Code de l’outil de test de Banjax

Voici un lien vers le code servi par l’outil de test. Votre ordinateur ou téléphone intelligent ne devrait prendre qu’une seconde ou deux pour résoudre le test.

Pour de plus amples renseignements au sujet de BotnetDBP, Banjax, le filtrage préliminaire, l’outil de test et le bannissement de bots, vous pouvez visiter cette page