Après les ransomwares, Cédric Tran, notre consultant Réseaux et Sécurité, fait un focus sur les attaques par déni de service.
Les attaques par déni de service font partie aujourd’hui des attaques les plus répandues : leur mise en œuvre est simple, leur coût est faible et les dommages qu’elles peuvent provoquer sont très importants.
Qu’est-ce qu’une attaque par déni de service ?
L’attaque par déni de service vise à rendre indisponible un lien réseau, un service, une application ou encore un site web par des mécanismes de saturation. Ces attaques peuvent avoir des conséquences considérables sur le fonctionnement d’une infrastructure et donc provoquer des pertes financières importantes ainsi que ternir l’image de la marque ciblée.
Différence entre DoS et DDoS
Une attaque par déni de service (DoS) peut être issue d’une source simple mais son potentiel destructeur est intensifié quand elle provient de sources multiples.
Si les sources du déni de service sont multiples, il s’agit de déni de service distribué (ou « DDoS » pour « Distributed Denial of Service »).
Une source simple : DoS
Des sources multiples : DDoS
Les attaques de type DDoS étant à la fois les plus courantes et les plus spectaculaires, nous traiterons de celles-ci pour la suite de cet article.
Comment se déroule une attaque DDoS ?
Une attaque par déni de service distribué se déroule généralement en deux étapes :
- Infection de machines qui vont être utilisées pour inonder la cible ; ces machines constituent ce que l’on appelle le réseau de machines zombies (ou « botnet »).
- Déclenchement de l’attaque, le botnet inonde alors la cible de façon synchrone.
Plus la taille du botnet est importante, plus l’ampleur de l’attaque sera grande. Les effets sur les services visés seront donc plus impactant pouvant même aller jusqu’à les rendre totalement indisponibles.
Quelques attaques DDoS récentes
Traditionnellement, les attaquants infectent des postes peu sécurisés pour en prendre le contrôle et ainsi constituer un botnet avant de lancer des attaques DDoS.
Depuis peu, la prolifération des objets connectés (dont certains fabricants ont négligé la sécurisation) a démultiplié les possibilités des pirates. En effet, ils peuvent en exploiter les failles et s’en servir sur un vaste parc d’objets configurés de manière identique. Nous pouvons citer par exemple Mirai, un malware qui permet d’enrôler des objets connectés dans un botnet. Les pirates profitent alors de l’effet de masse de ces objets pour s’en servir comme source de DDoS. Il est à noter que le code source de Mirai a été diffusé publiquement sur internet, contribuant ainsi à un « marché » du DDoS « à la demande » et en donnant la possibilité à des personnes mal intentionnées de louer des botnets pour lancer des attaques sans connaissances techniques poussées. L’attaque la plus impressionnante réalisée par un botnet enrôlé par une souche de Mirai est survenue en octobre dernier contre les serveurs de Dyn, mettant hors-service ses serveurs pendant plusieurs heures et impactant ses clients parmi lesquels Twitter, Ebay et Netflix.
Plus récemment encore, un botnet du nom de Leet a fait son apparition. Ce botnet, qui n’a pas pu être tracé puisqu’il usurpait des adresses IP, a ciblé Incapsula, le CDN (“Content Delivery Network”) d’Imperva, une entreprise américaine spécialisée dans la sécurité. Il a été baptisé ainsi en référence à la signature qu’il encapsule dans ses entêtes TCP : 1337 soit “LEET” en langage… leet.
Comment détecter une attaque DDoS ?
Une augmentation très soudaine du trafic est un indice d’attaque DDoS. Néanmoins, toute augmentation de trafic n’est pas forcément du DDoS. En effet, il peut aussi résulter d’un gain de notoriété inattendu (voir le zoom ci-dessous sur « l’effet Slashdot »). Il faut donc analyser de plus près les requêtes pour distinguer le trafic légitime du DDoS.
Effet Slashdot ?
Slashdot est un site référençant des liens vers des actualités publiées sur d’autres sites.
Lorsque le site référencé par Slashdot n’est pas en capacité de servir tous les nouveaux visiteurs issus de Slashdot, on assiste alors à l’indisponibilité du site, comme lors d’une attaque DDoS.
Bien que ces nouveaux visiteurs soient légitimes, l’infrastructure – n’étant pas en mesure de faire face à ce bond soudain de notoriété – sature. On parle alors d’effet Slashdot (“Slashdot effect”) quand un site touchant un large public référence un site moins connu et transfère son audience au point de le saturer.
Un autre cas particulier d’effet Slashdot est le trafic généré par des sites d’actualités relayant une attaque DDoS en cours. De nombreux visiteurs vont donc tenter de se connecter à la cible de l’attaque pour en constater les effets et donc les amplifier.
Lors d’une attaque DDoS, le trafic proviendra peut-être d’origines exotiques au regard du public habituel attendu (taux de requêtes élevées provenant de pays étrangers pour un site francophone par exemple). Mais ce critère est loin d’être suffisant car les adresses IP peuvent facilement être usurpées (IP spoofing).
L’analyse de la nature et de la forme du trafic est encore plus importante. Certains points sont à prendre en considération :
- De quels protocoles est issu le trafic ?
- La taille des paquets est-elle conforme à ce qui est attendu ?
- Est-ce que les sessions TCP ouvertes sont effectivement utilisées pour transporter du trafic ?
Comment s’en protéger et comment réagir en cas d’attaque DDoS ?
L’attaque étant par nature distribuée, il est très difficile d’établir une liste d’adresses IP attaquantes et d’effectuer un filtrage sur celles-ci.
Toute machine connectée à Internet (ordinateurs, serveurs, caméra IP, routeurs…) peut potentiellement être exploitée afin de contribuer à un DDoS. Le renforcement des systèmes de protection des machines pour les empêcher d’être enrôlées dans des botnets doit être une priorité. En effet, comme l’explique Thomas Longstaff de l’université Carnegie-Mellon (Pennsylvanie, USA) : “En réalité, la prévention doit plus porter sur le renforcement du niveau de sécurité des machines connectées au réseau [fusion_builder_container hundred_percent=”yes” overflow=”visible”][fusion_builder_row][fusion_builder_column type=”1_1″ background_position=”left top” background_color=”” border_size=”” border_color=”” border_style=”solid” spacing=”yes” background_image=”” background_repeat=”no-repeat” padding=”” margin_top=”0px” margin_bottom=”0px” class=”” id=”” animation_type=”” animation_speed=”0.3″ animation_direction=”left” hide_on_mobile=”no” center_content=”no” min_height=”none”][pour éviter qu’une machine puisse être compromise] que sur la protection des machines cibles [les serveurs Web].” La première étape indispensable de ce renforcement – mais malheureusement souvent ignorée – consiste à changer les identifiants configurés par défaut par les constructeurs de ces équipements.
Sur les infrastructures, une première défense est de proposer les services de façon distribuée. Ainsi la répartition de charge naturelle rendra une inondation plus difficile et ses effets moins impactant.
Un “cleaning center” est un service pouvant être proposé par un opérateur capable d’analyser les flux renvoyés par son client et de distinguer par différents algorithmes les flux légitimes des flux issus de DDoS. L’utilisation d’un tel service lors d’une augmentation du trafic permet de limiter les effets d’une attaque DDoS.
Les tentatives de saturation d’une cible peuvent avoir des répercussions par débordement sur le fonctionnement de l’infrastructure la supportant. Ainsi, il peut être judicieux de filtrer tout flux à destination de cette cible en amont de son infrastructure afin de la protéger. Cette technique, dite du trou noir (ou « RTBH » pour « Remote Triggered Black Hole ») a l’avantage de protéger des effets de débordement d’une attaque DDoS mais a l’inconvénient de couper purement et simplement l’accès à la cible, même aux requêtes légitimes.
Dessin schématisant la technique du trou noir, les flux à destination du serveur A sont routés vers un « trou noir » ce qui protège l’infrastructure
Le mot de la fin
- Les attaques DDoS représentent une réelle menace pour le fonctionnement d’une infrastructure et peuvent causer des préjudices lourds
- Cette menace tend à se banaliser, aujourd’hui une personne mal intentionnée peu lancer un déni de service sans connaissances techniques poussées
- Il existe des moyens de protection et de réaction face aux attaque DDoS mais la lutte contre ces attaques passe aussi par une sécurisation responsable des équipements connectés à Internet
[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]
