Se protéger des

DDoS

détection et atténuation

présentation par
Tristan Pilat
Tuteur : Arnaud André

Sommaire

  1. Présentation d'Evolix
  2. Qu'est ce qu'un DDoS ?
  3. Les différents types d'attaques
  4. Comment s'en protéger ?
    • Les solutions clé en main
    • Les solutions "simples"
  5. Le cas d'Evolix
  6. Conclusion

Evolix

  • Création en 2004
  • Située à Marseille au Pôle Média
  • Société d'hébergement et d'infogérance orientée Open Source
  • Plus de 400 serveurs infogérés
  • Opérateur réseau indépendant
  • Dispose de son propre domaine de routage BGP

reseau_evolix

Le (D)DoS

Un (D)DoS (Déni de service (distribué)) est l'attaque d'un service ou d'un réseau afin d'en perturber l'accès.

La perturbation peut être de différents formes :

  • Limitation de la possibilité d'accéder à certaines ressources
  • Ralentir le trafic réseau
  • Dans le pire des cas, saturer la liaison, refusant tout accès externe.

Les différents types d'attaques

  1. Attaques par inondation
  2. Attaques par épuisement TCP
  3. Attaques par volume applicatif

Attaques par inondation

Envoi d'un nombre important de paquets réseau
ex: TCP SYN, TCP SYN/ACK

Se base sur la limite de traitement des routeurs (quelques centaines de milliers à plusieurs millions pour les routeurs d'opérateur)

Attaques par épuisement TCP

Exploite les possibilités offertes par le protocole TCP de conserver une connexion active. Créer un nombre important de connexions actives sur le système attaqué afin qu'il se sature lui-même.

Attaques par volume applicatif

Se base sur les transactions applicatives

Envoyer un nombre de requêtes très important afin de faire tomber un service applicatif
Sans load balancing ou mécanisme de cache, théoriquement 10000 requêtes pour un server HTTP.

Le Déni de service distribué

Version distribuée du DOS, capable de saturer les liens et les équipements d'aujourd'hui.

Cette saturation pénalise l'accès de l'ensemble des services hébergés au seins d'un réseau.

Attaques Volumétriques

Attaque par inondation de multiples sources (plusieurs containes, milliers)

Nombre de paquets très important

Attaques par réflexion/amplification

Attaque par l'intermédiaire de services exploitables

Services les plus utilisés; DNS, SNMP, NTP

Facteurs d'amplification importants !

Comment s'en protéger ?

Les attaques DoS peuvent facilement être contrées (blocage de l'IP source).

Se prémunir d'une attaque DDoS et plus délicat dans la mesure ou les IP sources sont très nombreuses.

Plusieurs solutions existent...

Les solutions clé en main

Les équipements et services proposés utilisent plusieurs mécanismes :

  • Par feu stateless
  • IPS pour une analyse du comportement réseau
  • Pare feu applicatif (WAF)
  • Blocage des Ips en fonction de leurs réputations
  • Blackhole

Équipements de défense

Arbor network, RioRey, Radware

Solutions basées sur deux équipements

  • Analyseur de flux
  • Dispositif filtrant

Traitement d'un trafic très important (jusqu'à 10Gbps et 4 millions de pps)

Arbor Networks

Analyseur de flux

  • Identifie l'attaque (UDP/TCP, port(s) source(s) et port destination + parfois IP source)
  • Met à jour la table de routage des routeurs (dispositifs filtrants en parallèle, blackhole)
  • Communique via BGP et BGP flowspec si routeurs compatibles (Juniper, Alcatel)

Arbor Networks

Dispositif filtrant

  • Filtrage basé sur différents paramètres (en-tête IP malformé, dupliqué, paquet IP/TCP/UDP/ICMP trop court, flags invalides, Synproxy, limitation DNS)
  • Augmentation de la latence de 1 à 20 ms en fonction du trafic

Fournisseurs de service

Modification minimum au sein du reseau à protéger

  • Sonde d'analyse communicant avec le réseau du fournisseur
  • Lors d'attaques redirection du trafic (DNS ou BGP) par le fournisseur vers ses équipements

Les solutions "simples"

Différents moyens de se prémunir des DDoS :

  • RTBH (Remote triggered blackhole)
  • PBR/ACL
  • BGP Flowspec

Remote triggered blackhole

RFC3882

Annoncer un préfix /32 à son fournisseur de trafic via une communauté BGP

Annonce non redistribuée (permet de conserver l'accès à l'IP depuis un autre transitaire)

Possible sur la quasi totalité des transitaires :-)

Policy Base Routing

Permet de bloquer le trafic en se basant sur tout ce qui est contenu dans le header IP

Efficace mais à réaliser côté fournisseur... à appeler, à convaincre... donc peu pratique :-(

BGP Flowspec

RFC5575

Distribue des "PBR" via BGP ! (MP-BGP et les communautés étendues)

Se réplique via iBGP

Encore trop peu implémenté (Arbor, Juniper, Alcatel)

Compliqué de faire confiance à des annonces FlowSpec sur eBGP, les fournisseurs ne l'autorisent pas :-(

Le cas d'Evolix

Mise en place d'alertes NFsen basées sur Netflow


Réalisation d'une maquette RTBH

Rédaction d'une procédure d'application du RTBH

RTBH avec OpenBGPd

Côté transitaire

  • allow from any community 65001:666 prefixlen = 32 set nexthope blackhole

Lors de l'attaque on blackhole l'IP ciblée

  • bgpctl network add 1.2.3.4/32 community 65001:666

Après l'attaque on supprime l'annonce

  • bgpctl network delete 1.2.3.4/32 community 65001:666

Conclusion

La détention de procédures liées aux attaques de déni de service devient évidente


Il n'existe cependant pas de solutions de détection simples

Revoir régulièrement ses procédures

Conclusion

Dans le cas d'Evolix le RTBH reste encore efficace pour le filtrage DDoS :

  • Evite la facturation d'un gros trafic en agissant côté fournisseur
  • Evite les lourds traitements infligés au routeurs lors d'attaques
  • Dans le cas de multihoming permet de conserver un accès au service

MERCI !