DDoS White Paper

Transcription

DDoS White Paper

White Paper
DDoS Protection Service
Distributed Denial of Service (DDoS)
Information technique produit
Version 3.1
Protection efficace de votre
infrastructure contre les
attaques provenant Internet
– haute disponibilité de
l'accès Internet
(Distributed Denial of Service)
Sommaire
1
Les attaques DDoS, un risque bien réel .................................................................................................................3
2 Description du problème ..........................................................................................................................................3
2.1 Situation initiale ......................................................................................................................................................3
2.1.1 Intention des attaquants et types d’attaque ................................................................................................3
2.1.2 Évolution des attaques DoS ...............................................................................................................................3
2.1.3 Attaque DDoS à partir d’une adresse IP légitime .........................................................................................4
2.1.4 Motivation des attaques DDoS .........................................................................................................................4
2.2 Condition préalable à une attaque DDoS..............................................................................................................5
2.3 Attaques DDoS .........................................................................................................................................................5
2.3.1 Principe de déroulement ....................................................................................................................................5
2.3.2 Préparation et déroulement d’une attaque DDoS ..........................................................................................6
2.4 Évolution et conséquences des attaques DDoS...............................................................................................7
3 Mesures de protection contre les attaques DDoS ............................................................................................10
3.1 Défense par la technique Blackhole..................................................................................................................10
3.2 Mesures de protection actuelles à l’aide du DDoS Protection Service .....................................................11
3.2.1 Caractéristiques générales ..............................................................................................................................11
3.2.2 Traffic Anomaly Detection ...............................................................................................................................12
3.2.3 Threat Management System...........................................................................................................................12
4 DDoS Protection Service de Swisscom ................................................................................................................13
4.1 Processus de filtrage d’une attaque DDoS ......................................................................................................13
4.2 Option DDoS Protection enhanced ...................................................................................................................15
5 Récapitulatif...............................................................................................................................................................16
5.1 Variantes de solution............................................................................................................................................16
5.2 Potentiel de dangers et de dommages ............................................................................................................17
5.3 Managed Service....................................................................................................................................................17
6
Glossaire......................................................................................................................................................................18
La présente documentation technique a été élaborée selon les paramètres actuellement connus. La solution technique utilisée lors de l’implémentation
peut être différente. Nous restons à votre disposition pour toute question ou remarque concernant la présente documentation technique.
Swisscom (Suisse) SA
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
BIS_IPP_WP_DDoS_mm03104-fr.doc
www.swisscom.ch/grandesentreprises
Datum
01.03.2016
Seite 2/18
1
Les attaques DDoS, un risque bien réel
La gestion des risques d’une entreprise relève de la responsabilité de la direction. Il lui incombe d’examiner
régulièrement à titre préventif les risques de sécurité potentiels. Les environnements informatiques
entièrement en réseau présentent notamment des menaces de sécurité qui sont en constante évolution et
prennent sans cesse de nouvelles formes. Les attaques DDoS (Distributed Denial of Service) font partie de
ces risques informatiques. Ce livre blanc étudie en détail ce type de risques de sécurité et présente des
mécanismes de défense efficaces.
Au même titre que d’autres facteurs de risques (localisation et accès au bâtiment, protection incendie,
approvisionnement énergétique, accès aux documents internes, etc.), les attaques DDoS doivent être
incluses dans l’analyse des risques d’une entreprise en raison de la menace et des dégâts potentiels qu’elles
représentent. Des analyses de risques et des recommandations actuelles sont disponibles, entre autres, sur
le site Web de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information, à l’adresse
http://www.melani.admin.ch/dokumentation.
2
Description du problème
2.1
Situation initiale
Les attaques par déni de service («Denial of Service» - DoS) existent depuis les débuts d’Internet. Ces attaques
visent à limiter considérablement la disponibilité de certains systèmes et/ou services en ligne, voire d’en
rendre l’accès impossible. Pour ce faire, les attaquants essaient souvent de faire planter les systèmes via Internet en
exploitant les failles des systèmes d’exploitation, des programmes et services ou les vulnérabilités de
conception fondamentales des protocoles réseau utilisés.
2.1.1
Intention des attaquants et types d’attaque
La saturation des systèmes en ligne peut faire en sorte que leur fonctionnalité réelle ne soit plus garantie.
Les attaques DoS simples ne visent donc pas à dérober les données confidentielles ou à contourner les
mécanismes d’authentification des utilisateurs, mais à perturber sensiblement le fonctionnement, voire
paralyser complètement les plateformes de services de prestataires en ligne tels que les boutiques de
commerce électronique, les fournisseurs de contenus, les prestataires de services financiers (par ex. ebanking), les institutions administratives (par ex. E-Government), etc. Les sites Web ou services attaqués
peuvent alors être inaccessibles pendant une durée allant de quelques minutes à plusieurs jours.
À la différence d’autres attaques, l’attaquant ne s’infiltre généralement pas dans des réseaux informatiques
et n’a donc pas besoin de mots de passe ou d’autres moyens d’accès similaires. Une attaque DoS peut
toutefois faire partie d’une attaque globale contre un système. Ainsi, il arrive par exemple qu’une attaque
DoS paralyse un système en ligne donné, afin de dissimuler une attaque réelle contre un autre système du
même client. L’attention du personnel informatique chargé de l’administration est détournée par le volume
massif du trafic des données, de sorte que la tentative d’attaque proprement dite passe inaperçue.
2.1.2
Évolution des attaques DoS
Les attaques DoS sont toujours plus sophistiquées et de plus en plus difficiles à détecter par les nonspécialistes. Depuis plus d’une dizaine d’années, on observe le recours à une multitude de PC différents en
lieu et place d’un PC individuel pour mener une attaque coordonnée de grande ampleur contre des systèmes
en ligne ou des réseaux donnés. En règle générale, l’utilisateur individuel d’un PC faisant partie d’un tel
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 3/18
botnet ne constate aucune perte de performances lors d’une attaque en cours pendant qu’il travaille ou
surfe sur le net. Le nombre d’ordinateurs prenant part à une attaque peut aller de quelques centaines à
plusieurs centaines de milliers à la fois. Les PC impliqués dans une attaque peuvent être intégrés dans
Internet à l’échelle nationale, internationale ou intercontinentale. Dans ces attaques par déni de service
distribué (Distributed Denial-of-Service – DDoS), l’attaquant exploite les performances cumulées de
plusieurs PC. Ceci explique pourquoi il est possible de paralyser même des systèmes en ligne ultra-puissants
équipés de connexions réseau à large bande passante. En effet, ces réseaux fournissent eux-mêmes la
bande passante nécessaire.
2.1.3
Attaque DDoS à partir d’une adresse IP légitime
Une forme particulière d’attaque est l’attaque DRDoS («Distributed Reflected Denial of Service»). Dans ce
cas, l’attaquant n’envoie pas les paquets de données directement à la victime ciblée, mais à des services
Internet fonctionnant de façon régulière. Il saisit toutefois comme adresse d’expéditeur l’adresse IP de la
victime. De cette manière, il devient pratiquement impossible pour la victime attaquée de déterminer
l’origine de l’attaque. On appelle aussi «IP Spoofing» ce type de demandes de connexion falsifiées. La
réponse à celles-ci et la saturation du système qui en résulte constituent pour la victime l’attaque DoS
proprement dite.
2.1.4
Motivation des attaques DDoS
L’origine et les motifs de telles attaques sont divers et variés. Ils vont de l’insouciance «juvénile» de mordus
d’informatique sans motivation financière jusqu’aux actions de vengeance ou de protestation contre une
société ou une organisation, en passant par des organisations professionnelles de piratage informatique.
Ces dernières permettent à toute personne de commander et de payer par carte de crédit des attaques DDoS
via des portails en ligne. En contrepartie de sommes relativement modiques, des attaques gérées, par ex. sur
une durée de 24 heures, sont proposée en guise de test de résistance. Il n’est pas rare que des menaces
graves soient adressées à la victime ou que le racket soit à la base de telles attaques. Les organisations
professionnelles agissent clairement dans leur propre intérêt ou pour le compte de tiers.
Figure 1: Motifs des attaques DDoS (© ARBOR Networks)
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 4/18
2.2
Condition préalable à une attaque DDoS
Les attaques par chantage basées sur une attaque DDoS sont généralement lancées via ce qu’on appelle des
botnets. Ceux-ci se composent de quelques dizaines à plusieurs centaines de milliers de machines infectées
par des chevaux de Troie ou des vers. L’exécution d’attaques DDoS est favorisée par le fait que la plupart des
ordinateurs connectés au réseau haut débit ont une adresse IP fixe et qu’ils restent la plupart du temps en
ligne. De ce fait, l’infection et l’intégration dans un botnet se produisent le plus souvent de manière
inaperçue, étant donné que la majorité des ordinateurs sont connectés à Internet sans la moindre protection
ou que les mécanismes de protection sont insuffisants. Les propriétaires de ces ordinateurs ne savent donc
même pas que leurs ordinateurs font partie d’un botnet. Les performances des PC impliqués dans une
attaque ainsi que la bande passante de la connexion sont généralement exploitées à un niveau
imperceptible pour l’utilisateur. Les botnets se composent de quelques centaines à plusieurs milliers de PC
infectés répartis sur toute la planète. Ces PC peuvent être utilisés abusivement par le
contrôleur/l’administrateur du botnet pour lancer des attaques programmées. La recrudescence
considérable des cas d’utilisation abusive d’ordinateurs en réseau est due en outre à la large utilisation du
protocole TCP/IP et à la vulgarisation quasi-universelle des connaissances en la matière.
Figure 2 : Sources botnets actives à l’échelle globale (http://atlas.arbor.net/worldmap/index)
2.3
Attaques DDoS
2.3.1
Principe de déroulement
Jusqu’à présent, on a enregistré entre autres les scénarios d’attaque suivants, thématisés dans des blogs ou
des forums:

Scénario 1
Une entreprise présente sur Internet reçoit une lettre de chantage lui enjoignant de verser une certaine
somme dans un délai déterminé. Au cas où la somme ne serait pas versée à la date fixée, l’attaque
mentionnée dans la lettre de chantage sera exécutée sur-le-champ. Les serveurs Web seront alors
inondés de requêtes. Selon la bande passante, le site Internet ainsi que les services électroniques offerts
(boutique en ligne, e-banking, etc.) deviendront rapidement inaccessibles.
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 5/18

Scénario 2
Le site Internet d’une entreprise est bloqué sans préavis par une attaque DDoS pour des raisons
inconnues. Lors de l’attaque, la victime reçoit par e-mail (par ex. via un accès Internet alternatif) ou par
fax une lettre de revendication la sommant de verser un montant sur un compte bancaire dans un délai
donné ou de remplir une autre condition. Si le paiement n’est pas effectué à l’expiration du délai fixé, les
attaques seront poursuivies.

Scénario 3
La plateforme en ligne d’une entreprise est attaquée sans aucun avertissement préalable. Le but d’une
telle action est de porter préjudice à l’entreprise de façon durable, l’attaque pouvant durer de quelques
minutes à plusieurs semaines.
2.3.2
Préparation et déroulement d’une attaque DDoS
Comme il a déjà été indiqué, une attaque DDoS est caractérisée par la participation de plusieurs systèmes
informatiques. À cet égard, on pourrait décrire la chaîne d’attaques ramifiée ou le réseau d’attaquants de la
façon suivante:

Un attaquant (également appelé client) mandate…

…un ou plusieurs maîtres (ou revendeurs). Ceux-ci gèrent…

…plusieurs démons (appelés aussi agents), qui se chargent d’attaquer…

…une victime.
Analyse
L’attaquant communique avec les différents maîtres via une connexion Internet (souvent à partir d’une
adresse IP usurpée). En utilisant des outils de scanning, il a pu obtenir leur adresse IP ou identifier les ports
TCP ou UDP ouverts. Des cibles d’attaque potentielles et leurs points faibles sont repérés via Internet
Security Scanner. De la même façon, l’attaquant accède aussi aux droits root sur les serveurs et recherche
simultanément les services et ports actifs («ouverts») sur les systèmes.
Création de scripts
Après avoir identifié les failles de sécurité, l’attaquant crée un script (= un programme à exécution
automatique) et le dépose sur les comptes volés. Ces scripts lui permettront ultérieurement d’exploiter
précisément ces failles de sécurité. Pour la création des fichiers scripts, l’attaquant utilise souvent des boîtes
à outils existantes, ce qui simplifie énormément la tâche. Une fois cela fait, l’attaquant détermine ses futurs
démons et maîtres. Des mémoires supplémentaires sont utilisées sur les systèmes maîtres pour y stocker les
«fichiers binaires précompilés» («pre-compiled binaries») des démons. Ensuite, l’attaquant crée à nouveau
un script, qui utilise la liste de machines «dont il a pris possession» et génère un autre script. Ce dernier
exécute automatiquement le processus d’installation en arrière-plan.
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 6/18
Installation de scripts
Cette automatisation permet de créer un réseau DoS très étendu sans que les véritables propriétaires des
systèmes ne s’en rendent compte. Les programmes maîtres, qui jouent un rôle clé dans le réseau de
l’attaquant, sont finalement installés de façon minutieuse. Un «Rootkit» (kit administrateur) est installé en
option pour cacher la présence des programmes, fichiers et connexions réseau. Les programmes maîtres
sont principalement installés sur ce que l’on appelle des «Primary Name Server Hosts». Ces derniers étant
conçus pour un trafic réseau extrêmement volumineux, un grand nombre de connexions réseau peut être
cumulé sur ces serveurs. Ceci a deux avantages majeurs pour l’attaquant. D’une part, la charge de base
(processeurs et réseau) masque très bien le trafic réseau supplémentaire du maître. D’autre part, ces
serveurs ne seront pas retirés de manière précipitée du réseau, même en cas de soupçon de DDoS, car ils
sont très importants pour le propre réseau.
Début de l’attaque
Par la suite, l’attaquant envoie aux maîtres la commande d’attaque accompagnée des données de la victime
(adresse IP, numéro de port, type d’attaque, horaire de début et de fin). Ceci est le seul trafic provenant de sa
part lors de l’attaque. Après le signal de départ, la gestion et la coordination de l’attaque sont assumées par
les maîtres (= ordinateurs jouant le rôle de serveurs), qui gèrent chacun un certain nombre de démons
(processus tournant en arrière-plan). Pour éviter que la détection d’un maître par un analyseur de réseau ne
rende tous les démons inutilisables, les attaquants regroupent les maîtres en subdivisions à finalités
spécifiques. Les démons tournent pour leur part sur d’autres machines et peuvent être largement répartis
sur le réseau. L’attaque proprement dite n’a lieu qu’après intervention des démons sur ordre du maître. Il
peut s’agir, par exemple, d’une attaque SYN Flood où l’attaquant envoie un paquet au système victime afin
d’établir une connexion TCP (paquets SYS). Le système victime réserve alors un port et renvoie ce que l’on
appelle un paquet SYN-ACK. L’attaquant ayant toutefois spoofé son adresse IP (c’est-à-dire qu’il n’utilise pas
sa propre adresse IP), l’expéditeur ne reçoit aucune confirmation en retour. Le système victime répète
l’action et rejette définitivement la connexion réservée après une durée prédéterminée, qui peut être de
plusieurs minutes selon le système d’exploitation. Si cet établissement de connexion n’est pas exécuté
qu’une seule fois, mais très souvent et parallèlement, l’ordinateur va saturer en tentant de répondre aux
requêtes et finira donc par planter.
2.4
Évolution et conséquences des attaques DDoS
L’analyse des données recueillies par ARBOR Networks depuis 2002 en collaboration avec les principaux FAI
(fournisseurs d’accès Internet) démontre une augmentation significative de l’intensité par bande passante
des attaques DDoS et une fréquence élevée persistante. Les principales cibles d’attaque demeurent les
services Internet à caractère commercial, ainsi que les services réseau (par ex. Domain Name Server, DNS).
Les techniques les plus largement utilisées étaient avant tout UDP Flood (envoi d’une grande quantité de
paquets UDP à des ports sélectionnés au hasard, jusqu’à ce que ces derniers deviennent inaccessibles) et
TCP SYNC (temporisation de la procédure Handshake lors de l’établissement d’une connexion TCP).
Toutefois, d’autres vulnérabilités connues des protocoles d’application ont également été exploitées pour
l’attaque. La quantité et l’intensité des attaques DDoS ne cessent depuis d’augmenter.
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 7/18
Figure 3: Évolution des attaques DDoS (© ARBOR Networks)
Expériences et observations pratiques
Trop souvent, malgré leur potentiel de menace élevé, les attaques DDoS
restent malheureusement insuffisamment voire pas du tout prises en
compte dans les analyses de risques des entreprises.
En raison de la menace clairement constituée qu’elles représentent, les
attaques DDoS devraient cependant être assimilées aux autres risques
connus dans le cadre des analyses de risques globales des entreprises.
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 8/18
Figure 4: Nombre d’attaques DDoS par mois (© ARBOR Networks)
La non-disponibilité des services en ligne peut entraîner des pertes considérables en termes de chiffre
d’affaires. Ceci sans compter l’influence négative et durable sur l’image de la société et sur la
confiance des clients vis-à-vis de l’entreprise attaquée, notamment lorsque la part d’activités en ligne
de cette dernière est importante. Il est donc indispensable de disposer des outils de défense anti-DDoS
appropriés et des services correspondants proposés par des professionnels spécialisés, afin de pour
pouvoir détecter et parer toute attaque DDoS. Ils constituent la manière la plus rapide et la plus sûre
de maintenir le fonctionnement de sa propre plateforme de services en ligne. En effet, cela renforce
d’une part la confiance de la clientèle et assure, d’autre part, la constance des chiffres d’affaires de la
plateforme.
Figure 5: Durée moyenne requise pour la défense contre les attaques DDoS (© ARBOR Networks)
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 9/18
3
Mesures de protection contre les attaques DDoS
3.1
Défense par la technique Blackhole
Une protection efficace contre les attaques visant la disponibilité de systèmes sécurisés ou non n’est en
principe possible que de façon très limitée avec des moyens informatiques. Les systèmes non sécurisés sont
notamment conçus pour autoriser la communication avec pratiquement chaque système et réagir de façon
dynamique aux variations de charge. Presque toutes les mesures connues visent essentiellement à
empêcher l’usage abusif des propres systèmes et réseaux pour une attaque DDoS. Il n’y a que peu de
mesures de protection efficaces permettant d’atténuer les conséquences des attaques. Les mesures de
protection employées jusqu’ici entraînaient par ex. l’arrêt des services attaqués via la technique «Blackhole».
Les flux de données indésirables reçus sur les ports de routeurs des passerelles backbone sont entièrement
réacheminés (->Route to Null0) et neutralisés.
Figure 6: Principe de la technique Blackhole
Avantages:
La technique «Blackhole» protège l’infrastructure Web contre les attaques, même si ce n’est
que de manière partielle.
Inconvénient: Les flux de données étant supprimés dans leur intégralité, l’entreprise ne peut plus recevoir
des données en provenance de certaines portions du réseau. La lutte contre des flux de
données indésirables dans le backbone de l’ISP sur la base de la technique «Blackhole» est
complexe et requiert des connaissances approfondies en routage.
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 10/18
3.2
Mesures de protection actuelles à l’aide du DDoS Protection Service
3.2.1
Caractéristiques générales
Le DDoS Protection Service est une option du service IP-Plus Business Internet de Swisscom, présentant les
caractéristiques suivantes :








Protection efficace de l’infrastructure Internet contre les attaques DDoS (capacité de filtrage allant
actuellement jusqu’à 40 Gbits/s)
En cas d’attaque DDoS, mise en alerte proactive par e-mail, SMS, SNMP Traps et Syslog
Accès autorisé aux «friendly user» pendant les attaques DDoS
Accès complet à la plateforme de gestion, y compris surveillance et reporting lors des attaques DDoS
Défense directe contre les attaques DDoS via la plateforme de gestion par l’administrateur sécurité ou
réseau
Identification et blocage dynamiques des attaques DDoS
Helpdesk/assistance assurés 7 j/7, 24 h/24, par l’équipe d’experts DDoS
Aucune installation matérielle n’est requise chez le client
Figure 7: Présentation du DDoS Protection Service (option du service IP-Plus Business Internet)
Avantages: Les débits de trafic sont contrôlés en permanence dans le Backbone sur la base du DDoS Protection
Service. En cas d’écart par rapport à la baseline (= historique de bande passante enregistré en continu
pendant 24 heures), une alarme de niveau bas, moyen ou élevé sera générée de manière proactive
selon l’écart observé et envoyée directement aux responsables du système par e-mail, SMS, SNMP
Traps ou Syslog. Sur la base des informations d’alarme, le client peut lutter de manière ciblée contre
l’attaque DDoS, directement ou avec l’aide de l’assistance de niveau 2 ou 3 du helpdesk Swisscom.
Inconvénient:L’évaluation des anomalies du trafic requiert des connaissances approfondies dans le domaine.
Si ces connaissances ne sont pas disponibles, les spécialistes Swisscom se tiennent volontiers à
disposition, 24 h/24.
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 11/18
3.2.2
Traffic Anomaly Detection
La détection des anomalies du trafic (Traffic Anomaly Detection) est basée sur plusieurs systèmes Arbor
Peakflow. Ces derniers permettent d’enregistrer le flux de données dans le backbone Internet d’IP Plus et de
l’analyser afin de repérer les éventuelles anomalies. Les données Baseline sont saisies de manière continue
et dynamique à l’aide des systèmes Peakflow. Les données enregistrées à cet effet sont le jour de la semaine,
l’heure, la bande passante mesurée à cette date et la conformité du protocole. Ces données baseline servent
en fin de compte de données comparatives pour toute éventuelle alarme signalant des attaques DDoS. En
cas d’alarme, le niveau déclenché (bas, moyen, élevé) correspondra à l’écart entre le débit de la baseline et
celui du flux de données effectif. À l’aide de ces informations, le trafic peut être surveillé et analysé en
continu par rapport à sa propre infrastructure.
Figure 8: Vue de l’état du trafic via le portail clients
3.2.3
Threat Management System
Pour assurer la défense contre les attaques DDoS, Swisscom utilise ce qu’on appelle un système de gestion
des menaces (Threat Management System – TMS). En cas d’attaque, le trafic ou le flux de données en
direction du système attaqué peut être dévié via TMS. Le TMS peut non seulement analyser le trafic, mais
aussi distinguer et filtrer le trafic légitime du trafic malveillant. Le trafic filtré est ensuite réacheminé vers la
destination d’origine.
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 12/18
4
DDoS Protection Service de Swisscom
4.1
Processus de filtrage d’une attaque DDoS
Les quatre étapes initiales du processus de filtrage d’une attaque DDoS sont:
1. Trafic DDoS supplémentaire
2.
Détection de l’attaque DDoS indésirable
3.
Alarme automatique via DDoS Protection Service
4.
Activation manuelle via la plateforme de gestion de la protection anti-DDoS
Figure 9: Défense contre une attaque DDoS (1/2)
Le processus de filtrage d’une attaque DDoS inclut ensuite les trois étapes suivantes:
1.
Reroutage de l’attaque DDoS
2.
Filtrage actif du trafic DDoS
3.
Réacheminement normal du trafic légitime
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 13/18
Figure 10: Défense contre une attaque DDoS (2/2)
La fonction de filtrage du TMS est dans tous les cas activée par le client. En effet, la connaissance qu’il a du
fonctionnement de son réseau évitera les alarmes intempestives, qui peuvent par ex. être déclenchées par
une mise à jour logicielle programmée, susceptible d’être perçue comme une anomalie de trafic par le DDoS
Protection Service.
Les possibilités d’activation sont les suivantes:

Activation directe du TMS à l’aide du nom d’utilisateur/mot de passe sur un site web protégé, y
compris authentification sécurisée par un certificat client.

Activation ou assistance via Helpdesk, 7 j/7, 24 h/24, avec les temps de réaction suivants:
Par télémaintenance
Lun.-ven : 7h00-18h00
Lun.-dim.: 18h00-7h00
<1h
<2h
Au cas où l’accès du client à Internet serait bloqué en raison de l’attaque, l’accès au TMS pourra s’effectuer
alternativement via une connexion Mobile Unlimited, une liaison xDSL dédiée, ou par le biais d’autres
technologies d’accès Internet via un navigateur Web.
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 14/18
4.2
Option DDoS Protection enhanced
Pour une protection encore plus efficace, l’option DDoS Protection enhanced peut être mise en place en
guise de service supplémentaire. Elle est basée sur un équipement matériel mis en œuvre sur le site client au
niveau de la transition WAN-LAN. Ce dispositif analyse en permanence le trafic «entrant» jusqu’à couche OSI
applicative (couche 7) y compris. Une fonction SSL Inspection permet de détecter et de neutraliser les
attaques croissantes via des sessions IP cryptées. Sur la base des règles définies, le niveau d’anomalie est
vérifié en permanence et le trafic émanant de toute évidence d’une attaque est automatiquement filtré. En
cas de dépassement d’un niveau d’anomalie défini, de l’aide est demandée sur le cloud via Cloud Signaling.
Si l’opérateur décide de désamorcer la situation (mitigation), le DDoS Protection Service définit une nouvelle
BGP Host Route pour l’adresse IP attaquée avec une «Anycast address» en guise de Next-Hop. Le trafic est
redirigé via le Threat Management System (TMS), filtré et directement renvoyé sur le routeur client via un
tunnel GRE, sans le trafic lié à l’attaque.
Figure 11: Protection accrue contre les attaques DDoS avec DDoS Protection enhanced
L’option DDoS Protection enhanced étend le niveau de sécurité sur l’ensemble des sept couches OSI. Les
principaux avantages sont les suivants:

Protection immédiate au niveau des applications contre les attaques DDoS susceptibles de
compromettre la disponibilité des services et des applications.

Détection et blocage automatique des attaques DDoS, avant que celles-ci n’entravent les
performances des services. L’intervention de l’utilisateur requise étant minime voire inexistante, la
charge de travail des responsables de la sécurité informatique en est allégée.
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 15/18
5
Récapitulatif
5.1
Variantes de solution
Actuellement, le client peut choisir entre trois solutions:
1. L’infrastructure du client ne dispose d’aucun mécanisme de défense contre les attaques DDoS. Une
2.
3.
attaque peut alors être effective en très peu de temps et provoquer la mise hors ligne du site
Internet.
Un dispositif anti-DDoS est intégré devant le pare-feu sur le site du client. Si la bande passante de
l’attaque DDoS dépasse toutefois celle de l’accès réseau, le site Internet sera également
inaccessible.
La troisième solution, et la plus efficace, consiste à détecter l’attaque DDoS et à la filtrer avant
qu’elle n’atteigne le backbone de l’ISP. Cette configuration permet de filtrer le trafic malveillant tout
en assurant le routage du trafic légitime vers le service Web. Le mode en ligne peut ainsi être
totalement assuré.
Figure 12: Possibles solutions de défense contre une attaque DDoS
L’option DDoS Protection enhanced offre une protection supplémentaire grâce à l’analyse locale
permanente du trafic entrant des couches OSI 7.
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 16/18
5.2
Potentiel de dangers et de dommages
Au cours des 12 derniers mois, la Suisse a connu une augmentation exceptionnelle d’attaques DDoS dirigées
contre des entreprises de différents secteurs et des organisations politiques. Dans le cadre d’une étude de
cas, une attaque DDoS réelle menée contre une entreprise disposant d’une plateforme en ligne a été
documentée, de même que son déroulement et les moyens de défense employés. Le trafic analysé de
l’attaque provenait principalement du Pérou, du Chili, de la Chine, de Taïwan, des États-Unis, de l’Égypte et
du Kenya. L’historique de la bande passante montrait clairement que cette attaque était activement dirigée
contre le client.
Ce fait s’était manifesté, entre autres, par un autre pic de trafic deux jours après le début de la première
attaque. L’attaquant voulait ainsi vérifier si une nouvelle intensification du trafic malveillant pourrait
perturber le service en ligne. Cette tentative a toutefois également échoué grâce au DDoS Protection Service
de Swisscom. Sans l’activation de ce service de protection, le service en ligne du client concerné serait resté
inaccessible pendant au moins deux jours et les dégâts auraient été énormes – d’une part, les dommages
financiers (pertes de chiffre d’affaires) et d’autre part, une dégradation difficilement quantifiable, mais
certainement durable de l’image de l’entreprise.
5.3
Managed Service
Le DDoS Protection Service est installé dans le backbone IP-Plus Business Internet en tant que service géré
par Swisscom en s’appuyant sur la plage d’adresses IP souhaitée par le client. Cette configuration permet de
surveiller en continu l’accès Internet pour repérer les éventuelles anomalies et alerter le client en fonction
des limites définies de bande passante. Grâce à l’accès direct au TMS, le client dispose d’un outil efficace lui
permettant d’analyser en détail le trafic de données en direction de son infrastructure et de le protéger
immédiatement en cas d’attaque. Bien évidemment, le client est assisté de manière optimale par Swisscom.
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 17/18
6
Glossaire
Terme
Explication
AS
Autonomous System
ASN
Autonomous System Number
BGP
Border Gateway Protocol
Blackhole
Les «Blackholes» sont utilisés pour acheminer vers l’interface Null0 tous les paquets IP
envoyés à un système attaqué.
Botnet
On entend par botnet un réseau commandé à distance de PC qui a été infecté par des
vers, chevaux de Troie, ou autres, et qui peut être utilisé abusivement pour mener des
attaques ciblées.
CPE
Customer Premises Equipment
DDoS
Distributed Denial of Service (déni de service distribué)
DNS
Domain Name System
HTTPS
Secure Hyper Text Transport Protocol
GRE
Generic Routing Encapsulation (sert à l’encapsulation d’autres protocoles et à leur
transport via IP sous la forme d’un tunnel)
IP
Internet Protocol
ISP
Internet Service Provider
Mpps
Mégapaquets par seconde
OSI
Open System Interconnection (modèle de référence pour les réseaux de données,
composé de sept couches de communication ayant chacune une fonction distincte)
PC
Personal Computer
SAP
Point d’accès du service
SMS
Short Message Service
SNMP
Simple Network Management Protocol (permet de gérer des éléments du réseau tels
que les routeurs, les switches, les imprimantes, etc.)
SSL
Secure Sockets Layer (protocole de chiffrement visant à sécuriser les transferts de
données)
TCP
Transmission Control Protocol
TMS
Threat Management System
UDP
User Datagram Protocol
Grandes Entreprises
Case postale
CH - 3050 Berne
Numéro gratuit
Fax gratuit
E-mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
[email protected]
File
Datum
01.03.2016
Seite 18/18

DDoS White Paper

Transcription

Documents pareils

Newsletter Sécurité des SI GCS Esanté N° 35

Prolexic Routed

Denial of Service Attacks

Silentsoft

Dernière réponse d`Aweber : "Sinon quoi?"

Séminaire CyberSécurité 2015

Communiqué du Sharp paris et plus généralement des skinheads

+mot - aramis

Cours Anglais à Brisbane, Australie