Publication du guide « Comprendre et anticiper les attaques DDoS » | Agence nationale de la sécurité des systèmes d'information
jeudi 6 août 2015 à 16:46GuiGui's Show - Liens
Ce guide est excellent en ce qui concerne les définitions (ce qu'est un DDoS, les motivations, les sources/outils,...), j'en recommande la lecture. En revanche, ce guide est beaucoup plus léger sur la prévention et à la réponse aux incidents, beaucoup trop théorique et superficielle. j'veux dire qu'on est loin de l'excellent guide sur la sécurité de BGP.
« Une attaque par déni de service vise à rendre indisponible un ou plusieurs services. Un déni de service peut consister à exploiter, par exemple, une vulnérabilité logicielle ou matérielle. L’interruption de service peut également s’effectuer en empêchant l’accès à ce service, par exemple en saturant la bande passante du réseau : on parle alorsd’attaques volumétriques. Par ailleurs, une attaque peut solliciter, jusqu’à épuisement, une ou plusieurs ressources d’un service. Il peut s’agir, par exemple, de l’ouverture d’un grand nombre de nouvelles sessions TCP dans un intervalle de temps très court, ou encore d’un nombre trop important de traitements concurrents effectués par une base de données.
[...]
Toute entité dont l’activité dépend d’une infrastructure réseau connectée à Internet peut être la cible d’une attaque DDoS. Les motivations et objectifs des attaquants sont divers, allant des revendications idéologiques à la vengeance, en passant par les extorsions de fonds. Par ailleurs, certaines attaques semblent être menées afin de détourner l’attention, et de couvrir d’autres actions illégales, comme des transactions bancaires frauduleuses [1] [2].
[...]
Ainsi, en 2014, des opérateurs français ont constaté des attaques dont le volume était de l’ordre de la centaine de gigabits par seconde, et le débit, en nombre de paquets par seconde, de l’ordre de la dizaine de millions.
[...]
Au cours des années précédentes, les opérateurs français ont constaté que la plupart des attaques durent moins d’une demi-heure. Cependant, les attaques menées dans le but d’extorquer des fonds à une société durent souvent plusieurs jours.
[...]
De nombreux outils accessibles en ligne permettent d’exploiter des botnets [8] [9]. Au cours des dernières années, des services de DDoS en ligne, couramment appelés booter ou stresser, ont fait leur apparition [10]. Ces services proposent des tarifs autorisant leur usage par des particuliers, et permettent à un utilisateur de lancer des attaques contre la cible de son choix. Par ailleurs, certains booter proposent de tester le service gratuitement pendant quelques minutes.
[...]
Comment se protéger contre les DDoS ?
Les pare-feux et les répartiteurs de charge peuvent contribuer à absorber certaines attaques DDoS, mais ils ne constituent pas une protection suffisante contre ce type d’attaque d’une manière générale. Par ailleurs, les limites de ces équipements sont parfois exploitées pour rendre des services indisponibles. Cependant, il est parfois possible de modifier la configuration de ces équipements afin d’améliorer leur résistance face à ce dernier type d’attaque (par exemple, en augmentant la taille des tables d’état).
[...]
Certains équipements dédiés [ NDLR : des appliances clés en main ] offrent différentes contre-mesures spécifiques aux attaques DDoS. Leur mise en œuvre nécessite une prise en main préalable, et un paramétrage adapté au trafic de l’entité.
[...]
Les hébergeurs offrent parfois une protection contre les attaques DDoS. Les différentes options proposées peuvent constituer une solution pour les structures faisant appel à une société externe pour l’hébergement de leurs serveurs.
[...]
L’intervention de l’opérateur de transit est parfois nécessaire, en particulier lorsque le lien réseau mis à disposition du client est saturé. Les opérateurs permettent souvent d’effectuer du blackholing de trafic basé sur la destination. Il convient de noter que cette mesure, parfois nécessaire, rend le déni de service effectif. L’opérateur peut également offrir un service de filtrage de trafic. Dans le cas où ce service est opéré par le client, ce dernier doit s’assurer de maîtriser la configuration des différentes contre-mesures offertes par la plate-forme.
[...]
Les CDN permettent la répartition de ressources sur un grand nombre de ser-veurs, ce qui peut contribuer à améliorer la résistance aux attaques DDoS.
[...]
Il est nécessaire de prendre des précautions avant la mise en œuvre d’une protection contre les attaques DDoS basée sur la résolution de nom. Cette méthode a une limite importante : le trafic à destination de l’entité ainsi protégée ne transite pas forcément par le fournisseur de la protection. [...] En effet, pour rediriger le trafic vers le service de protection, cette méthode repose uniquement sur le mécanisme de résolution de nom fourni par le DNS. Si un attaquant connait l’adresse IP originelle (par exemple, 203.0.113.2 sur la figure 2.1), il peut accéder directement au serveur sans passer par le CDN.
[...]
Le déroutement de trafic [NDLR : via annonces BGP par le prestataire de protection + tunnel GRE ou interconnexion directe avec lui ] permet de faire transiter l’intégralité du trafic vers le fournisseur du service de protection. Cette solution offre un bien meilleur niveau de protection qu’une solution basée sur la résolution de nom. En revanche, la souscription à ce type de service est généralement plus onéreuse.
[...]
Il est impératif de disposer de contacts appropriés en interne, chez les opérateurs de transit, ainsi qu’auprès des fournisseurs d’un service de protection pour réagir efficacement en cas d’attaque.
[...]
En dehors des solutions de protection spécifiques, des bonnes pratiques peuvent contribuer à améliorer la résistance à une attaque par déni de service. Parmi celles-ci, on peut notamment citer :
• la segmentation du réseau de l’entité de manière à faciliter le filtrage en cas d’attaque, et l’isolement éventuel de certains sous-réseaux ou de certains serveurs ;
• la mise en œuvre d’un filtrage à la bordure du réseau de l’entité afin de n’autoriser que les flux nécessaires au fonctionnement de cette dernière. Ces pratiques contribuent également à limiter le risque de participation involontaire à une attaque en déni de service (voir chapitre 4). Par ailleurs, la mise en place d’un réseau d’administration dédié est nécessaire. En effet, une attaque peut affecter significativement l’infrastructure réseau d’une entité, et ainsi entraîner des difficultés d’accès aux équipements. Au minimum, le trafic d’administration doit être marqué comme prioritaire au moyen de la mise en place d’un marquage QoS (Quality of Service).
[...]
Une entité peut être touchée indirectement par une attaque DDoS : une attaque contre une société peut affecter d’autres entités partageant la même infrastructure réseau, ou bénéficiant d’un service fourni par la cible de l’attaque.Un exemple est celui de la société nord-américaine Neustar, qui a connu une attaque DDoS entre fin avril et début mai 2014 [29]. Cet incident a entraîné des perturbations du service DNS fourni à ses clients [30].
[...]
Il est important de ne pas oublier des services qui sont parfois considérés comme étant en marge du système d’information, à l’instar de la téléphonie. À titre d’exemple, une société nord-américaine fournissant un service de téléphonie sur IP a été victime d’une série d’attaques DDoS pendant plusieurs mois entre fin 2012 et début 2013 [31]. Ces attaques ont entraîné des interruptions du service, affectant des clients de la société.
[...]
Comment réagir face à un DDoS ?
Il est nécessaire de disposer de moyens de supervision et d’alerte afin de dé-tecter un incident.
[...]
Avant de mettre en œuvre une contre-mesure, il est important d’identifier :
• l’élément défaillant. S’agit-il d’une saturation des liens réseau, d’une surcharge au niveau d’un serveur ou plus précisément, d’une application ? L’attaque cible-t-elle un seul hôte, ou un bloc entier du réseau de l’entité ?
• le ou les protocoles utilisés. Dans le cas où le protocole de transport est UDP, il convient de prendre en compte le fait que ce protocole ne permet pas d’identifier les sources d’une attaque (possibilité d’usurpation de l’adresse IP source) ;
• les sources de l’attaque : s’agit-il de paquets provenant d’un réseau interne à l’entité, ou de l’extérieur ? L’attaque est-elle générée par un nombre restreint de sources ? Le trafic lié à l’attaque transite-t-il par un seul opérateur ?
• un ou plusieurs discriminants permettant de distinguer le trafic légitime du trafic généré par l’attaque (par exemple, des motifs récurrents dans le contenu des paquets, des valeurs remarquables dans les en-têtes HTTP).
[...]
En outre, un certain nombre de dispositions peuvent être prises au niveau de l’entité ciblée. Parmi celles-ci, on peut notamment citer :
• le blocage des adresses IP sources identifiées comme étant à l’origine de l’attaque ;
• le blocage du type de trafic impliqué dans l’attaque, et non nécessaire au bon fonctionnement de l’entité (filtrage sur le port destination, par exemple) ;
• la limitation du nombre de connexions concurrentes par adresse IP source au niveau d’un pare-feu ;
• la réduction des délais de garde des connexions TCP (par exemple sur des serveurs web ou SMTP) ;
• le blocage du trafic à destination des cibles, en fonction de l’impact de l’attaque sur le reste de l’infrastructure réseau.
[...]
Déclaration d'incident
Les opérateurs de communications électroniques, en application du Code des Postes et des Communications Électroniques (CPCE, article D98-5) [36], ont l’obligation de déclarer les incidents qui ont un impact « significatif » sur la disponibilité des services auprès du Centre Opérationnel de Gestion Interministériel de Crise (COGIC) du ministère de l’Intérieur. Par ailleurs, dans le cas d’un incident significatif dû à une attaque informatique, à l’instar d’une attaque DDoS, les opérateurs doivent effectuer une déclaration auprès de l’ANSSI. Aujourd’hui, un incident est considéré comme significatif s’il affecte au minimum 100 000 abonnés. Il convient de noter que ce seuil est susceptible d’évoluer dans le futur.
[...]
Comment éviter de participer à un DDoS ?
[...]
Réduction de la surface dʼattaque
[...]
Désactivation des services inutiles
[...]
Durcissement des systèmes dʼexploitation
[...]
Durcissement des configurations des services
[...]
Un attaquant peut exploiter une inclusion dynamique de fichiers (Remote File Inclusion ou RFI) dans le code d’une application pour déposer des scripts qui lui permettront ensuite d’exécuter des commandes (par exemple, un shell PHP). Les RFI sont parfois utilisés pour créer des botnets. En 2012, une campagne d’attaques par déni de service contre des institutions financières nord-américaines a été menée à partir d’applications compromises via ce type de vulnérabilité
[...]
Filtrage du trafic
L’accès aux services d’une entité doit être restreint afin de n’autoriser que les réseaux internes à celle-ci. Par ailleurs, la mise en place de règles de ratelimiting peut réduire une éventuelle participation à une attaque par déni de service. Enfin, le trafic sortant de l’entité doit être filtré afin de bloquer l’envoi de trafic pour lequel les adresses IP sources sont usurpées. »
(Permalink)
Ce guide est excellent en ce qui concerne les définitions (ce qu'est un DDoS, les motivations, les sources/outils,...), j'en recommande la lecture. En revanche, ce guide est beaucoup plus léger sur la prévention et à la réponse aux incidents, beaucoup trop théorique et superficielle. j'veux dire qu'on est loin de l'excellent guide sur la sécurité de BGP.
« Une attaque par déni de service vise à rendre indisponible un ou plusieurs services. Un déni de service peut consister à exploiter, par exemple, une vulnérabilité logicielle ou matérielle. L’interruption de service peut également s’effectuer en empêchant l’accès à ce service, par exemple en saturant la bande passante du réseau : on parle alorsd’attaques volumétriques. Par ailleurs, une attaque peut solliciter, jusqu’à épuisement, une ou plusieurs ressources d’un service. Il peut s’agir, par exemple, de l’ouverture d’un grand nombre de nouvelles sessions TCP dans un intervalle de temps très court, ou encore d’un nombre trop important de traitements concurrents effectués par une base de données.
[...]
Toute entité dont l’activité dépend d’une infrastructure réseau connectée à Internet peut être la cible d’une attaque DDoS. Les motivations et objectifs des attaquants sont divers, allant des revendications idéologiques à la vengeance, en passant par les extorsions de fonds. Par ailleurs, certaines attaques semblent être menées afin de détourner l’attention, et de couvrir d’autres actions illégales, comme des transactions bancaires frauduleuses [1] [2].
[...]
Ainsi, en 2014, des opérateurs français ont constaté des attaques dont le volume était de l’ordre de la centaine de gigabits par seconde, et le débit, en nombre de paquets par seconde, de l’ordre de la dizaine de millions.
[...]
Au cours des années précédentes, les opérateurs français ont constaté que la plupart des attaques durent moins d’une demi-heure. Cependant, les attaques menées dans le but d’extorquer des fonds à une société durent souvent plusieurs jours.
[...]
De nombreux outils accessibles en ligne permettent d’exploiter des botnets [8] [9]. Au cours des dernières années, des services de DDoS en ligne, couramment appelés booter ou stresser, ont fait leur apparition [10]. Ces services proposent des tarifs autorisant leur usage par des particuliers, et permettent à un utilisateur de lancer des attaques contre la cible de son choix. Par ailleurs, certains booter proposent de tester le service gratuitement pendant quelques minutes.
[...]
Comment se protéger contre les DDoS ?
Les pare-feux et les répartiteurs de charge peuvent contribuer à absorber certaines attaques DDoS, mais ils ne constituent pas une protection suffisante contre ce type d’attaque d’une manière générale. Par ailleurs, les limites de ces équipements sont parfois exploitées pour rendre des services indisponibles. Cependant, il est parfois possible de modifier la configuration de ces équipements afin d’améliorer leur résistance face à ce dernier type d’attaque (par exemple, en augmentant la taille des tables d’état).
[...]
Certains équipements dédiés [ NDLR : des appliances clés en main ] offrent différentes contre-mesures spécifiques aux attaques DDoS. Leur mise en œuvre nécessite une prise en main préalable, et un paramétrage adapté au trafic de l’entité.
[...]
Les hébergeurs offrent parfois une protection contre les attaques DDoS. Les différentes options proposées peuvent constituer une solution pour les structures faisant appel à une société externe pour l’hébergement de leurs serveurs.
[...]
L’intervention de l’opérateur de transit est parfois nécessaire, en particulier lorsque le lien réseau mis à disposition du client est saturé. Les opérateurs permettent souvent d’effectuer du blackholing de trafic basé sur la destination. Il convient de noter que cette mesure, parfois nécessaire, rend le déni de service effectif. L’opérateur peut également offrir un service de filtrage de trafic. Dans le cas où ce service est opéré par le client, ce dernier doit s’assurer de maîtriser la configuration des différentes contre-mesures offertes par la plate-forme.
[...]
Les CDN permettent la répartition de ressources sur un grand nombre de ser-veurs, ce qui peut contribuer à améliorer la résistance aux attaques DDoS.
[...]
Il est nécessaire de prendre des précautions avant la mise en œuvre d’une protection contre les attaques DDoS basée sur la résolution de nom. Cette méthode a une limite importante : le trafic à destination de l’entité ainsi protégée ne transite pas forcément par le fournisseur de la protection. [...] En effet, pour rediriger le trafic vers le service de protection, cette méthode repose uniquement sur le mécanisme de résolution de nom fourni par le DNS. Si un attaquant connait l’adresse IP originelle (par exemple, 203.0.113.2 sur la figure 2.1), il peut accéder directement au serveur sans passer par le CDN.
[...]
Le déroutement de trafic [NDLR : via annonces BGP par le prestataire de protection + tunnel GRE ou interconnexion directe avec lui ] permet de faire transiter l’intégralité du trafic vers le fournisseur du service de protection. Cette solution offre un bien meilleur niveau de protection qu’une solution basée sur la résolution de nom. En revanche, la souscription à ce type de service est généralement plus onéreuse.
[...]
Il est impératif de disposer de contacts appropriés en interne, chez les opérateurs de transit, ainsi qu’auprès des fournisseurs d’un service de protection pour réagir efficacement en cas d’attaque.
[...]
En dehors des solutions de protection spécifiques, des bonnes pratiques peuvent contribuer à améliorer la résistance à une attaque par déni de service. Parmi celles-ci, on peut notamment citer :
• la segmentation du réseau de l’entité de manière à faciliter le filtrage en cas d’attaque, et l’isolement éventuel de certains sous-réseaux ou de certains serveurs ;
• la mise en œuvre d’un filtrage à la bordure du réseau de l’entité afin de n’autoriser que les flux nécessaires au fonctionnement de cette dernière. Ces pratiques contribuent également à limiter le risque de participation involontaire à une attaque en déni de service (voir chapitre 4). Par ailleurs, la mise en place d’un réseau d’administration dédié est nécessaire. En effet, une attaque peut affecter significativement l’infrastructure réseau d’une entité, et ainsi entraîner des difficultés d’accès aux équipements. Au minimum, le trafic d’administration doit être marqué comme prioritaire au moyen de la mise en place d’un marquage QoS (Quality of Service).
[...]
Une entité peut être touchée indirectement par une attaque DDoS : une attaque contre une société peut affecter d’autres entités partageant la même infrastructure réseau, ou bénéficiant d’un service fourni par la cible de l’attaque.Un exemple est celui de la société nord-américaine Neustar, qui a connu une attaque DDoS entre fin avril et début mai 2014 [29]. Cet incident a entraîné des perturbations du service DNS fourni à ses clients [30].
[...]
Il est important de ne pas oublier des services qui sont parfois considérés comme étant en marge du système d’information, à l’instar de la téléphonie. À titre d’exemple, une société nord-américaine fournissant un service de téléphonie sur IP a été victime d’une série d’attaques DDoS pendant plusieurs mois entre fin 2012 et début 2013 [31]. Ces attaques ont entraîné des interruptions du service, affectant des clients de la société.
[...]
Comment réagir face à un DDoS ?
Il est nécessaire de disposer de moyens de supervision et d’alerte afin de dé-tecter un incident.
[...]
Avant de mettre en œuvre une contre-mesure, il est important d’identifier :
• l’élément défaillant. S’agit-il d’une saturation des liens réseau, d’une surcharge au niveau d’un serveur ou plus précisément, d’une application ? L’attaque cible-t-elle un seul hôte, ou un bloc entier du réseau de l’entité ?
• le ou les protocoles utilisés. Dans le cas où le protocole de transport est UDP, il convient de prendre en compte le fait que ce protocole ne permet pas d’identifier les sources d’une attaque (possibilité d’usurpation de l’adresse IP source) ;
• les sources de l’attaque : s’agit-il de paquets provenant d’un réseau interne à l’entité, ou de l’extérieur ? L’attaque est-elle générée par un nombre restreint de sources ? Le trafic lié à l’attaque transite-t-il par un seul opérateur ?
• un ou plusieurs discriminants permettant de distinguer le trafic légitime du trafic généré par l’attaque (par exemple, des motifs récurrents dans le contenu des paquets, des valeurs remarquables dans les en-têtes HTTP).
[...]
En outre, un certain nombre de dispositions peuvent être prises au niveau de l’entité ciblée. Parmi celles-ci, on peut notamment citer :
• le blocage des adresses IP sources identifiées comme étant à l’origine de l’attaque ;
• le blocage du type de trafic impliqué dans l’attaque, et non nécessaire au bon fonctionnement de l’entité (filtrage sur le port destination, par exemple) ;
• la limitation du nombre de connexions concurrentes par adresse IP source au niveau d’un pare-feu ;
• la réduction des délais de garde des connexions TCP (par exemple sur des serveurs web ou SMTP) ;
• le blocage du trafic à destination des cibles, en fonction de l’impact de l’attaque sur le reste de l’infrastructure réseau.
[...]
Déclaration d'incident
Les opérateurs de communications électroniques, en application du Code des Postes et des Communications Électroniques (CPCE, article D98-5) [36], ont l’obligation de déclarer les incidents qui ont un impact « significatif » sur la disponibilité des services auprès du Centre Opérationnel de Gestion Interministériel de Crise (COGIC) du ministère de l’Intérieur. Par ailleurs, dans le cas d’un incident significatif dû à une attaque informatique, à l’instar d’une attaque DDoS, les opérateurs doivent effectuer une déclaration auprès de l’ANSSI. Aujourd’hui, un incident est considéré comme significatif s’il affecte au minimum 100 000 abonnés. Il convient de noter que ce seuil est susceptible d’évoluer dans le futur.
[...]
Comment éviter de participer à un DDoS ?
[...]
Réduction de la surface dʼattaque
[...]
Désactivation des services inutiles
[...]
Durcissement des systèmes dʼexploitation
[...]
Durcissement des configurations des services
[...]
Un attaquant peut exploiter une inclusion dynamique de fichiers (Remote File Inclusion ou RFI) dans le code d’une application pour déposer des scripts qui lui permettront ensuite d’exécuter des commandes (par exemple, un shell PHP). Les RFI sont parfois utilisés pour créer des botnets. En 2012, une campagne d’attaques par déni de service contre des institutions financières nord-américaines a été menée à partir d’applications compromises via ce type de vulnérabilité
[...]
Filtrage du trafic
L’accès aux services d’une entité doit être restreint afin de n’autoriser que les réseaux internes à celle-ci. Par ailleurs, la mise en place de règles de ratelimiting peut réduire une éventuelle participation à une attaque par déni de service. Enfin, le trafic sortant de l’entité doit être filtré afin de bloquer l’envoi de trafic pour lequel les adresses IP sources sont usurpées. »
(Permalink)