Attaque en DDoS de 50Gbits/s ciblant un fournisseur de service DNS

Certains diront que l'information n'est pas toute fraîche et ils auront raison : C'est le 7 aout 2010 que DNS Made Easy, fournisseur de services DNS a été la cible d'une attaque en déni de service distribué de près de 50 Gbits/s. Un tel débit d'attaque est particulièrement rare et méritait donc d'être l'objet d'un article sur ce blog.

Les informations disponibles sur les sites "classiques" (SANS ISC, DnsMadeEasy under a "quite large and unique" ddos. August 7, 2010 / TheRegister, DNS Made Easy rallies after punishing DDoS attack, August 9, 2010) étaient assez sibyllines.
Plus bizarrement, encore aucun article sur le blog d'ArborNetworks, société spécialisée dans le domaine des attaques en DDoS : Peut-être un article à venir ? En tout cas cet "évènement" sera surement présent dans leur prochain "Worldwide Infrastructure Security Report".

Communiqué officiel détaillé
C'est sur le blog "The Byte Stops Here" qu'il est possible d'en savoir un peu plus : son auteur, client de DNS Made Easey a posté "in-extenso" le communiqué officiel envoyé par DNS Made Easy à ses clients. On y retrouve des détails intéressants sur les évènements de cette journée du 7 Aout, comment celle-ci a impacté le fonctionnement du service et donne des informations sur l'attaque en elle-même.

Caractéristiques de l'attaque
Pour l'essentiel, on retrouve : Un botnet avec des machines majoritairement localisées dans la zone Chine/Asie-pacifique ; la mise en évidence de l'importance que représente la collaboration entre les opérateurs télécom dans ce genre de situation et la saturation de liens réseau de 10Gbits/s appartenant à des opérateurs de type "Tier 1" (cad les plus importants au niveau mondial). Le débit de 50 Gbits/s serait quelque peu à modérer : Il serait plutôt estimé entre 20 et 40 Gbits/s.

C'est assez rare pour le noter : Ce communiqué est de qualité car il ne fait pas dans la langue de bois et ne prends pas les lecteurs pour des billes en tentant de leur faire avaler des énormités ou des généralités creuses comme c'est souvent parfois le cas. C'est une très bonne pratique que peu de sociétés adoptent dans de telles circonstances.
Je vous invite à lire vous-même le communiqué pour de plus amples détails.

Qui va recevoir la facture ?
Dans les conditions de services de DNS Made Easy, il est intéressant de lire qu'un client de leur service qui serait attaqué en DDoS est redevable des coûts générés pour le traitement de celle-ci.... Je ne sais pas si ce genre de clause est applicable en France et dans quelles conditions celles-ci sont activables. En tout cas, rien n'a filtré sur les motivations de l'attaquant ni sur la cible exacte de celle-ci...

Déterminer la cible exacte est difficile
De toute façon, dans le cas d'une attaque en DDoS, il est particulièrement difficile (ou parfois même totalement impossible) de déterminer de façon fiable qui était attaqué. Une attaque en DDoS peut très bien être conduite de façon à masquer la cible réelle car les effets de bord sont très souvent aussi létaux qua l'attaque en elle-même.

Impacts assez limités : Merci au routage "anycast"
Bien que l'attaque ai été particulièrement forte, l'utilisation de techniques de routage basée sur l'anycast a été salvateur pour DNS Made Easy. Dans certaines zones du monde, le service n'aurait même pas été perturbé. Cette "recette anycast" a d'ailleurs été mise en œuvre sur les serveur DNS racine.
Ceci dit, anycast n'est pas la panacée et ne permet pas de s'affranchir d'un plan de réponse sur attaque dument préparé et testé en avance de phase.

Anycast & débits important : Une relation de cause à effet ?
Une idée pour terminer N'y a-t-il pas une relation entre les attaques de très fort débit lorsque la cible s'appuie sur les techniques d'anycast ? Cela pourrait être effectivement le cas : Pour qu'une attaque soit réussie celle-ci se doit de déborder les mesures de défenses en place. Classique dans le contexte des attaques en DDoS.