Attaques en Déni de service

Introduction et principes de protection

Orange Business Services - Blog Sécurité

Juillet 2008

AUDENARD Jean-FrançoisDirection du développement des services de sécurité

Atta q ue s e n DDoS – J uin 2008

Plateformes Web

http://www.e-commerce.com

Votre site Internet est pleinement opérationnel

Vos clients passent leurs commandes

Fonctionnement Normal

Fonctionnement normal ou habituel : Les internautes, qu’ils viennent de l’international (en haut) ou depuis le périmètre national (à droite) accèdent facilement et rapidement à votre site de e-commerce. Vos clients sélectionnent les biens et les services et procèdent à leur paiement.

Atta q ue s e n DDoS – J uin 2008

Réseau de drones (« Botnet »)

Centre de commande

(« Botherder »)

Ordres

Accès au Botnet

Attaquant

Ordre d’attaque

Attaques en DDoS

Le Botnet : L arme de l attaquant’ ’

Atta q ue s e n DDoS – J uin 2008

Le Botnet : L’arme de l’attaquant

Un réseau de machines infectées à leur insu est sous le contrôle du Botherder. Ces machines sont typiquement des ordinateurs personnels de Mr/Mme « tout le monde » qui ont été préalablement infectés à l’insu de leurs propriétaires. Ces machines (aussi appelées zombies, bots ou drones) sont répartis dans le monde entier. Un réseau de bots, aussi appelé Botnet peut être constitué de plusieurs dizaines de machines, voir beaucoup plus dans certains cas.

Le Botherder loue, pour quelques heures ou quelques jours, l’utilisation de son botnet à l’attaquant.

L’attaquant peut ainsi envoyer simultanément des ordres à l’ensemble des machines du botnet afin de submerger un site par un flot très important de requêtes qu’il ne sera pas en mesure de traiter : C’est l’attaque en déni de service Distribué (DDoS)

Atta q ue s e n DDoS – J uin 2008

Plateformes Web

http://www.e-commerce.com

Attaquant

Attaque de DDoS : Le site est bloqué

Atta q ue s e n DDoS – J uin 2008

Attaque de DDoS : Le site est bloqué

L’attaquant, via le réseau de zombies, lance une attaque vers le site Internet. L’ensemble de la bande passante est consommée de façon inutile.

Les accès légitimes sont impossibles, tant pour les clients à l’international que ceux arrivant depuis le périmètre national.

L’attaque en déni de service est efficace : Plus aucune commande ni accès au site de e-commerce n’est possible.

Atta q ue s e n DDoS – J uin 2008

Plateformes Web

http://www.e-commerce.com

Attaquant

Mitigation de l attaque via « trou-’  noir » 

Atta q ue s e n DDoS – J uin 2008

Mitigation de l’attaque via « trou-noir »

L’opérateur réseau active un mécanisme de « trou-noir » (blackhole en anglais) au niveau de certains routeurs du réseau d’interconnexion à l’international.

L’attaque est contrée : Elle est stoppée en amont du réseau de l’opérateur, vos clients arrivant depuis les réseaux nationaux ont de nouveau la possibilité de passer des commandes.

Par contre, vos clients à l’international sont toujours dans l’impossibilité d’accéder à votre site. La situation s’est améliorée mais pas complètement.

L’attaque en DDoS a partiellement échouée.

Atta q ue s e n DDoS – J uin 2008

Plateformes Web

http://www.e-commerce.com

Attaquant

Mitigation de l attaque via « centre de nettoyage »’    

Atta q ue s e n DDoS – J uin 2008

Mitigation de l’attaque via « centre de nettoyage »

L’activation d’un mécanisme de « nettoyage » des attaques au sein du réseau de l’opérateur permet de filtrer sélectivement les flux : Seuls les flux d’attaques sont détruits , l’accès à votre site est de nouveau possible pour l’ensemble de vos clients, que ce soit depuis l’international que du national.

L’attaque en DDoS a donc totalement échouée.