Un (D)DoS (Déni de service (distribué)) est l'attaque d'un service ou d'un réseau afin d'en perturber l'accès.
La perturbation peut être de différents formes :
Envoi d'un nombre important de paquets réseau
ex: TCP SYN, TCP SYN/ACK
Se base sur la limite de traitement des routeurs (quelques centaines de milliers à plusieurs millions pour les routeurs d'opérateur)
Exploite les possibilités offertes par le protocole TCP de conserver une connexion active. Créer un nombre important de connexions actives sur le système attaqué afin qu'il se sature lui-même.
Se base sur les transactions applicatives
Envoyer un nombre de requêtes très important afin de faire tomber un service applicatif
Sans load balancing ou mécanisme de cache, théoriquement 10000 requêtes pour un server HTTP.
Version distribuée du DOS, capable de saturer les liens et les équipements d'aujourd'hui.
Cette saturation pénalise l'accès de l'ensemble des services hébergés au seins d'un réseau.
Attaque par inondation de multiples sources (plusieurs containes, milliers)
Nombre de paquets très important
Attaque par l'intermédiaire de services exploitables
Services les plus utilisés; DNS, SNMP, NTP
Facteurs d'amplification importants !
Les attaques DoS peuvent facilement être contrées (blocage de l'IP source).
Se prémunir d'une attaque DDoS et plus délicat dans la mesure ou les IP sources sont très nombreuses.
Plusieurs solutions existent...
Les équipements et services proposés utilisent plusieurs mécanismes :
Arbor network, RioRey, Radware
Solutions basées sur deux équipements
Traitement d'un trafic très important (jusqu'à 10Gbps et 4 millions de pps)
Modification minimum au sein du reseau à protéger
Différents moyens de se prémunir des DDoS :
RFC3882
Annoncer un préfix /32 à son fournisseur de trafic via une communauté BGP
Annonce non redistribuée (permet de conserver l'accès à l'IP depuis un autre transitaire)
Possible sur la quasi totalité des transitaires :-)
Permet de bloquer le trafic en se basant sur tout ce qui est contenu dans le header IP
Efficace mais à réaliser côté fournisseur... à appeler, à convaincre... donc peu pratique :-(
RFC5575
Distribue des "PBR" via BGP ! (MP-BGP et les communautés étendues)
Se réplique via iBGP
Encore trop peu implémenté (Arbor, Juniper, Alcatel)
Compliqué de faire confiance à des annonces FlowSpec sur eBGP, les fournisseurs ne l'autorisent pas :-(
Mise en place d'alertes NFsen basées sur Netflow
Réalisation d'une maquette RTBH
Rédaction d'une procédure d'application du RTBH
Côté transitaire
Lors de l'attaque on blackhole l'IP ciblée
Après l'attaque on supprime l'annonce
La détention de procédures liées aux attaques de déni de service devient évidente
Il n'existe cependant pas de solutions de détection simples
Revoir régulièrement ses procédures
Dans le cas d'Evolix le RTBH reste encore efficace pour le filtrage DDoS :