Sécurité IT : l’ANSSI décortique les attaques DDoS

CyberDéfenseRisquesSécurité
ddos-anssi

Comment anticiper les attaques informatiques par déni de service (DDoS), s’en protéger et gérer les éventuels incidents ? Éléments de réponse avec l’ANSSI.

Comment détecter les attaques DDoS, s’en protéger et éviter d’y participer involontairement ? Autant de points abordés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) dans un guide – document PDF, 52 pages – publié en collaboration avec une dizaine d’acteurs de l’industrie réseaux-télécoms.

Basé sur un réseau de machines souvent compromises, le déni de service distribué (« Distributed Denial-of-Service » en anglais, d’où l’acronyme DDoS) peut toucher toute entité dont l’activité dépend d’une infrastructure connectée à Internet. En première ligne, les gouvernements, les institutions financières et les e-commerçants.

L’ANSSI évoque une menace d’autant plus fréquente (plus de 1000 attaques par jour en 2014 selon plusieurs opérateurs français) qu’elle est relativement simple à mettre en oeuvre. Et s’il ne dure en moyenne que quelques dizaines de minutes, le DDoS gagne en ampleur : il dépasse désormais régulièrement les 100 gigabits par seconde.

Les auteurs de ces attaques peuvent aussi bien agir au nom de revendications idéologiques, extorquer des fonds ou encore couvrir d’autres actions illégales. S’appuyant généralement sur des botnets, ils exploitent aussi parfois des services de DDoS en ligne (les « booters » ou « stressers »).

Les attaques DDoS reposent souvent sur le principe de réflexion, à travers des machines auxquelles on envoie des paquets en utilisant l’adresse IP de la victime comme source. Ces machines renvoient alors des réponses qui peuvent suffire à saturer les liens réseau de l’entreprise visée. Le protocole UDP est particulièrement utilisé, car il ne nécessite pas – contrairement à TCP – l’établissement d’une session préalablement à l’envoi de données.

La science du DDoS

Autre technique souvent exploitée : l’amplification, à travers certains protocoles qui maximisent le trafic produit par chaque requête. L’amplification concerne par exemple le DNS, ce système de nommage qui permet d’associer à une adresse IP un nom facile à retenir. Elle affecte aussi le NTP, protocole gérant la synchronisation temporelle de machines sur un réseau IP.

L’ANSSI mentionne par ailleurs les attaques applicatives, qui visent à épuiser les ressources de calcul d’un serveur en lançant un grand nombre de sessions TLS ou en tirant parti de faiblesses dans la conception d’une Web App. Autres pistes : l’épuisement des tables d’état (liées aux pare-feux, aux répartiteurs de charges et aux systèmes de détection d’intrusion) ainsi que la fragmentation IP (découpage de paquets sur des réseaux hétérogènes).

Des équipements de filtrage en bordure du SI peuvent suffire à se protéger des attaques dont le volume n’excède pas la capacité des liens réseau. Pare-feux et répartiteurs de charge entrent dans cette catégorie. Ils trient le trafic selon des critères comme le protocole de transports et les ports source ou destination.

Des équipements spécifiques peuvent filtrer le trafic selon la position géographique des sources, trier des paquets selon leur contenu (par exemple à l’aide d’expressions régulières) ou encore limiter le nombre de requêtes dans un intervalle de temps donné pour des ressources particulières (détails en pages 14-15 du rapport).

La protection peut aussi être externalisée. Elle est parfois offerte par les hébergeurs. Dans certains cas, il est nécessaire de solliciter l’intervention de l’opérateur de transit, qui peut mettre en place un filtrage ou, en dernier recours, éliminer la totalité du trafic vers une destination donnée.

Répartir la charge

Autre solution : passer par un CDN, infrastructure de serveurs répartie entre plusieurs data centers. L’objectif premier est de rapprocher les contenus des utilisateurs finaux, mais cette répartition de la charge de traitement peut contribuer à améliorer la résistance au DDoS : une attaque menée depuis des sources concentrées dans une même région géographique n’affectera que les nœuds servant cette région.

Certaines sociétés proposent des services dédiés, décrits entre les pages 18 et 24. On peut citer la redirection DNS (le trafic à destination d’un domaine est redirigé vers l’adresse IP d’un serveur du fournisseur de protection) et le déroutement du trafic par des annonces BGP (redirection à destination d’un bloc d’adresses IP vers le fournisseur du service de protection).

Parmi les autres mesures techniques et organisationnelles à adopter, la segmentation du réseau de manière à faciliter le filtrage et l’isolement éventuel de certains sous-réseaux ou serveurs. Ce qui impliquera la mise en place d’un réseau d’administration dédié et prioritaire en cas de perturbations.

Autre nécessité : déterminer quels systèmes sont le plus susceptibles d’être visés et disposer des contacts appropriés non seulement en interne, mais aussi chez les FAI comme chez les opérateurs de transit. Attention enfin aux dommages collatéraux résultant du partage d’une infrastructure réseau ou d’un service avec une autre entité.

L’ANSSI est formelle : pour détecter efficacement es attaques DDoS, il faut disposer des moyens de superviser l’infrastructure, tant au niveau du réseau que des services opérés (page 27). Les causes de l’incident peuvent être déterminées en utilisant les journaux des équipements et des serveurs.

Une fois les caractéristiques de l’attaque déterminées (élément défaillant, cible, protocole(s) utilisé(s), sources…), une déclaration d’incident peut s’imposer selon la nature de l’organisme visé. Il est par ailleurs possible de déposer plainte – la procédure est décrite en pages 30-31.

Pour éviter de se retrouver involontairement impliqué dans un DDoS, on aura soin de désactiver les services inutiles au niveau des serveurs et de durcir les systèmes d’exploitation (application du principe de moindre privilège aux logiciels, configuration des options de montage des partitions). Tout en s’assurant de mettre à jour ses applications Web, c’est-à-dire les frameworks, les greffons ou encore les CMS.

* Acorus Networks, Bouygues Telecom, Cyber Test Systems, France-IX, Free/Online, Jaguar-Network, Orange France, SFR et Zayo France ont contribué à la rédaction de ce guide.

Crédit photo : Profit_Image – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur