Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Lutte contre les attaques en DDoS : retour d'expérience (partie 1)

Lutte contre les attaques en DDoS : retour d'expérience (partie 1)
2009-02-192013-02-11nouvelles technologiesfr
Afin de compléter les différents bulletins que nous avons pu vous proposer autour des attaques en déni de service distribué (DDoS), les experts sécurité de notre division des Orange Labs (Division Recherche et Développement) nous ont proposé de partager plus largement leur retour...
Publié le 19 Février 2009 par Jean-François Audenard dans nouvelles technologies
man versus machine

Afin de compléter les différents bulletins que nous avons pu vous proposer autour des attaques en déni de service distribué (DDoS), les experts sécurité de notre division des Orange Labs (Division Recherche et Développement) nous ont proposé de partager plus largement leur retour d'expérience sur le sujet.

Hormis quelques changements de dates, de localisation géographique et les noms de certaines des parties en présence, toutes les informations présentées ci-après sont bien réelles.

Je tiens à remercier personnellement Emmanuel BESSON et Pierre ANSEL des Orange Labs pour toutes ces informations : sans eux, cet article n'aurait pas existé !

Rentrons maintenant dans le vif du sujet, tout commence en mai 2008.

fin mai 2008 : début de l'attaque

Les équipes opérationnelles d'une filiale d'Orange à l'étranger alertent les équipes sécurité du Groupe : plusieurs attaques en déni de service distribué (DDoS) frappent le site institutionnel d'un client majeur de la filiale, causant une indisponibilité répétée des services hébergés pour les utilisateurs légitimes. Dans le même temps, deux autres attaques ciblent des services d'infrastructure, et notamment le service DNS local.

Une cellule de crise est rapidement mise en place, réunissant les experts sécurité du Groupe afin, dans un premier temps, de rassembler le maximum d'informations sur l'origine, la nature et les cibles des attaques, puis de préparer et enfin mettre en œuvre rapidement les actions permettant de limiter les dégâts causés par la cyber-agression, voire d'éliminer la menace.

Les deux axes retenus sont donc les suivants :

  1. identification exhaustive de l'attaque : il s'agit de tracer l'attaque pour essayer d'en retrouver les origines, ou du moins les points de peering par lesquels elle entre sur les infrastructures pour se concentrer vers le client
  2. évaluer les moyens permettant de stopper l'attaque, trois solutions étant envisagées :
    • bloquer le trafic préalablement identifié au plus près des sources via une collaboration des ISP véhiculant l'attaque (technique de blackholing)
    • renforcer les défenses locales en re-paramétrant certains pare-feux ou en durcissant les configurations des serveurs attaqués
    • doter localement la filiale de sondes actives complémentaires pour analyser et bloquer l'attaque

une semaine plus tard : premières contre-mesures

Grâce aux moyens de détection implantés sur les réseaux internationaux, les trois adresses IP ciblées par les attaques sont identifiées, ainsi que pas moins de 16 routeurs de cœur relayant le trafic impliqué dans ces dernières et 7 points de peering avec autant de partenaires opérateurs.

Ces derniers sont immédiatement contactés et sollicités pour tracer les origines de l'attaque et mettre en œuvre les fonctions de blocage dont ils sont -éventuellement- équipés.

Dans le même temps, les équipes opérationnelles déclenchent un blackholing (Trou-noir) pour l'une des adresses ciblées par l'attaque. Succinctement, cette technique consiste à modifier les configurations de routage du réseau d'infrastructure afin que tous les routeurs poubellisent le trafic qui les traverse à destination d'une adresse IP donnée. Elle vient évidemment à bout de cette première composante de l'attaque.

Toujours dans le même temps, avec l'aide des experts sécurité du Groupe, les équipes locales reconfigurent les pare-feux protégeant leur infrastructure DNS et parviennent à bloquer la seconde composante de l'attaque qui la ciblait.

Toutefois, la dernière composante de la campagne de DDoS ciblant le client final demeure, les deux solutions ci-avant n'étant dans ce cas pas applicables. Les experts proposent alors de déployer une solution de nettoyage de trafic ("cleaning center") issues de leurs travaux et spécifiquement développée pour contrer les attaques DDoS.

flash-back : la solution décisive

La solution proposée offre des capacités de manipulation de trafic afin de purifier ce dernier en temps réel grâce à des fonctions de filtrage intelligent.

En effet, la difficulté inhérente aux attaques DDoS réside dans leur apparente légitimité, puisque les requêtes malveillantes utilisent des ports "autorisés", et produisent des paquets a priori "bien formés". En ce sens, les pare-feux et autres Intrusion Prevention Systems (IPS) restent inefficaces face à la majorité des attaques DDoS.

DDoS cleaning centerLe module des experts implémente donc de manière optimisée (de façon à fonctionner à plusieurs Gigabits/s) des algorithmes de "tri sélectif" du trafic. Placé en coupure des flux à destination de la victime, il ne réinjecte en sortie que la partie purifiée et donc légitime vers cette dernière.

Il devient ainsi possible de protéger plusieurs services critiques simultanément attaqués, la définition d'un service protégé pouvant être très large (ensemble du trafic), mais aussi plus ciblée, voire très spécifique (exemple : requêtes d'un certain type vers une machine donnée). Bien entendu, le module est doté d'une interface permettant d'assurer une surveillance en temps réel et de paramétrer la protection à chaud.

La filiale demande alors à bénéficier de cette technologie afin de protéger ses clients sous attaque.

début juin 2008 : l'attaque cesse

Mi-juillet 2008. La cellule de crise valide le déploiement expérimental du "Cleaning Center". Le Cleaning Center est positionné en mode "monitoring" au niveau des points de peering de la filiale et voit donc passer l'intégralité du trafic à destination des clients de l'opérateur local ayant formulé une demande de protection. Les équipes locales ont bénéficié d'une formation pour être en mesure d'activer le mode "protection" en cas d'occurrence d'une nouvelle attaque.

L'attaquant en a-t-il finit ? Non. Nous verrons qu'il reviendra à la charge !

Jean-François

crédit photo : photobank.kiev.ua - Fotolia.com

3 Commentaires

  • 14 Février 2011
    2011-02-14
    par
    Haddidou "steeve"
    Bonjour!

    Dans le cadre de mon projet, j'aimerai vous faire une petite interview precis concernant votre chapitre "Purquoi devez vous protéger votre entreprise en sécurisant votre accès Internet ? Pourquoi devez vous protéger votre entreprise en sécurisant votre accès Internet ? "

    Cordialement.
  • 6 Janvier 2011
    2011-02-14
    par
    Bonjour Steeve.
    L'ensemble du contenu du blog sécurité d'Orange Business Services est publié sous une licence qui permet et encourage sa réutilisation. Quelques règles de bases s'appliquent cependant (besoin de citer la source, commercialisation interdite, etc...).
    Les principes de la licence sont décrits à cette URL.
    Pour un projet d'école, aucun problème donc.
  • 3 Janvier 2011
    2011-02-14
    par
    Steeve
    Bonjour!

    Vos commentaire sur ce site mon beaucoup appris et aidé dans le cadre de mon projet d'étude pour le baccalauréat 2011.

    Passionné d'informatique, spécialement dans "la sécurité informatique" Dans le cadre de mon projet correspondant bien à vos explication dans ce site, j'aimerai présenter cela devant mon professeur en m'inspirant de vos commentaire. Pour cela je vous demande, si vous le voulez bien un accord de votre part concernant le copiage de quelque phrases.

    Cordialement Steeve.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage