attaques en déni de service
TRANSCRIPT
Attaques en Déni de service
Introduction et principes de protection
Orange Business Services - Blog Sécurité
Juillet 2008
AUDENARD Jean-FrançoisDirection du développement des services de sécurité
Atta q ue s e n DDoS – J uin 2008
Plateformes Web
http://www.e-commerce.com
Votre site Internet est pleinement opérationnel
Vos clients passent leurs commandes
Fonctionnement Normal
Fonctionnement normal ou habituel : Les internautes, qu’ils viennent de l’international (en haut) ou depuis le périmètre national (à droite) accèdent facilement et rapidement à votre site de e-commerce. Vos clients sélectionnent les biens et les services et procèdent à leur paiement.
Atta q ue s e n DDoS – J uin 2008
Réseau de drones (« Botnet »)
Centre de commande
(« Botherder »)
Ordres
Accès au Botnet
Attaquant
Ordre d’attaque
Attaques en DDoS
Le Botnet : L arme de l attaquant’ ’
Atta q ue s e n DDoS – J uin 2008
Le Botnet : L’arme de l’attaquant
Un réseau de machines infectées à leur insu est sous le contrôle du Botherder. Ces machines sont typiquement des ordinateurs personnels de Mr/Mme « tout le monde » qui ont été préalablement infectés à l’insu de leurs propriétaires. Ces machines (aussi appelées zombies, bots ou drones) sont répartis dans le monde entier. Un réseau de bots, aussi appelé Botnet peut être constitué de plusieurs dizaines de machines, voir beaucoup plus dans certains cas.
Le Botherder loue, pour quelques heures ou quelques jours, l’utilisation de son botnet à l’attaquant.
L’attaquant peut ainsi envoyer simultanément des ordres à l’ensemble des machines du botnet afin de submerger un site par un flot très important de requêtes qu’il ne sera pas en mesure de traiter : C’est l’attaque en déni de service Distribué (DDoS)
Atta q ue s e n DDoS – J uin 2008
Plateformes Web
http://www.e-commerce.com
Attaquant
Attaque de DDoS : Le site est bloqué
Atta q ue s e n DDoS – J uin 2008
Attaque de DDoS : Le site est bloqué
L’attaquant, via le réseau de zombies, lance une attaque vers le site Internet. L’ensemble de la bande passante est consommée de façon inutile.
Les accès légitimes sont impossibles, tant pour les clients à l’international que ceux arrivant depuis le périmètre national.
L’attaque en déni de service est efficace : Plus aucune commande ni accès au site de e-commerce n’est possible.
Atta q ue s e n DDoS – J uin 2008
Plateformes Web
http://www.e-commerce.com
Attaquant
Mitigation de l attaque via « trou-’ noir »
Atta q ue s e n DDoS – J uin 2008
Mitigation de l’attaque via « trou-noir »
L’opérateur réseau active un mécanisme de « trou-noir » (blackhole en anglais) au niveau de certains routeurs du réseau d’interconnexion à l’international.
L’attaque est contrée : Elle est stoppée en amont du réseau de l’opérateur, vos clients arrivant depuis les réseaux nationaux ont de nouveau la possibilité de passer des commandes.
Par contre, vos clients à l’international sont toujours dans l’impossibilité d’accéder à votre site. La situation s’est améliorée mais pas complètement.
L’attaque en DDoS a partiellement échouée.
Atta q ue s e n DDoS – J uin 2008
Plateformes Web
http://www.e-commerce.com
Attaquant
Mitigation de l attaque via « centre de nettoyage »’
Atta q ue s e n DDoS – J uin 2008
Mitigation de l’attaque via « centre de nettoyage »
L’activation d’un mécanisme de « nettoyage » des attaques au sein du réseau de l’opérateur permet de filtrer sélectivement les flux : Seuls les flux d’attaques sont détruits , l’accès à votre site est de nouveau possible pour l’ensemble de vos clients, que ce soit depuis l’international que du national.
L’attaque en DDoS a donc totalement échouée.