Le début du mois d'Aout à été chaud pour Posterous : Ce site d'hébergement de blogs a été la cible d'attaques en déni de service.
Caractéristiques de l'attaque
Selon les informations collectées, il s'agissait d'une attaque de type "SYN-Flood" d'un débit de 500.000 paquets/seconde pour un débit entre 500 Mbits/s avec des pointes à 1.5Gbps/s. Il s'agit donc d'une attaque de taille "raisonnable" (rien à voir à celle que DNS Made Easy a du gérer) mais qui reste létale pour beaucoup d'infrastructures.
Les équipes de Posterous ont bien tenté de jongler avec deux adresses IP publiques qui, associées à une mise à jour des zones DNS pré-configurées avec un TTL de 5 min, et l'activation d'un trou-noir ("backhole"). L'ajout d'un load-balancer n'a non plus pas été concluante à ce que j'ai pu lire. Le jeu du chat et de la souris a visiblement tourné en faveur de l'attaquant, au moins dans un premier temps.
Des systèmes de filtrage d'attaque appelés en renfortCe n'est que suite à l'activation d'un système de filtrage plus ou moins similaire à celui présenté dans l'un de nos précédent articles que les choses sont revenues à la normale. Le système mis en place s'appuyant sur une redirection au niveau DNS afin que le trafic puisse être analysé et filtré : Cela n'a pu être efficace uniquement car l'attaquant ne ciblait pas directement une adresse IP.
Ce type de redirection est plus simple à mettre en place qu'un système basé sur des annonces BGP et/ou du tunnel basé sur GRE par exemple. Il a été efficace pour contrer l'attaque dont Posterous faisait les frais.
Communication de crise via Twitter
Posterous est un service de blog gratuit qui permet de poster du contenu (text, vidéo, ...) via notamment un simple envoi d'emails.
Durant les attaques, il était impossible de poster ou de consulter les blogs. C'est donc tout naturellement via leur compte Twitter que la communication de crise s'est mise en place. Ce n'est qu'après l'orage passé qu'ils ont communiqué sur l'incident depuis sur leur blog officiel).
Anticiper et se protéger pour l'avenir
Avec la taille des réseaux de machines zombies et le sentiment d'impunité que les attaques en DDoS donnent, toute entreprise dont la présence sur Internet est capitale ou importante pour ses activités se doit de se protéger en amont. Sans cela elle s'expose inutilement : les attaques en DDoS sont de plus en plus fréquentes.
L'attaque dont Posterous a été la cible et du type de celles qui restent "gérables" via un service spécialisé, typiquement proposé par des sociétés spécialisées ou des opérateurs télécoms.
Posterous a visiblement appris sur le tas comme c'est parfois le cas. Espérons que le service auquel ils sont souscrit leur permettra de se protéger d'autres attaques éventuelles.
Suite à son rachat par Twitter, le site d’hébergement de blogs Posterous a fermé le 30 Avril 2013.
Engadget, Posterous closing on April 30th to focus on Twitter, April 30 2013
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens