ddos protection service -...

Protection efficace de votre

infrastructure contre les

attaques provenant Internet

– haute disponibilité de

l'accès Internet

White Paper

DDoS Protection Service Distributed Denial of Service (DDoS)

Information technique produit

Version 3.1

DDoS Protection Service

(Distributed Denial of Service)

Swisscom (Suisse) SA

Grandes Entreprises

Case postale

CH - 3050 Berne

Numéro gratuit 0800 800 900

Fax gratuit 0800 800 905

E-mail [email protected]

Internet www.swisscom.ch/grandesentreprises

Dokument White Paper DDoS

Version 3.1

File BIS_IPP_WP_DDoS_mm03104-fr.doc

Datum 01.03.2016 Seite 2/18

Sommaire

1 Les attaques DDoS, un risque bien réel ................................................................................................................. 3

2 Description du problème .......................................................................................................................................... 3

2.1 Situation initiale ...................................................................................................................................................... 3

2.1.1 Intention des attaquants et types d’attaque ................................................................................................ 3

2.1.2 Évolution des attaques DoS ............................................................................................................................... 3

2.1.3 Attaque DDoS à partir d’une adresse IP légitime ......................................................................................... 4

2.1.4 Motivation des attaques DDoS ......................................................................................................................... 4

2.2 Condition préalable à une attaque DDoS .............................................................................................................. 5

2.3 Attaques DDoS ......................................................................................................................................................... 5

2.3.1 Principe de déroulement .................................................................................................................................... 5

2.3.2 Préparation et déroulement d’une attaque DDoS .......................................................................................... 6

2.4 Évolution et conséquences des attaques DDoS ............................................................................................... 7

3 Mesures de protection contre les attaques DDoS ............................................................................................ 10

3.1 Défense par la technique Blackhole .................................................................................................................. 10

3.2 Mesures de protection actuelles à l’aide du DDoS Protection Service ..................................................... 11

3.2.1 Caractéristiques générales .............................................................................................................................. 11

3.2.2 Traffic Anomaly Detection ............................................................................................................................... 12

3.2.3 Threat Management System........................................................................................................................... 12

4 DDoS Protection Service de Swisscom ................................................................................................................ 13

4.1 Processus de filtrage d’une attaque DDoS ...................................................................................................... 13

4.2 Option DDoS Protection enhanced ................................................................................................................... 15

5 Récapitulatif ............................................................................................................................................................... 16

5.1 Variantes de solution ............................................................................................................................................ 16

5.2 Potentiel de dangers et de dommages ............................................................................................................ 17

5.3 Managed Service .................................................................................................................................................... 17

6 Glossaire ...................................................................................................................................................................... 18

La présente documentation technique a été élaborée selon les paramètres actuellement connus. La solution technique utilisée lors de l’implémentation

peut être différente. Nous restons à votre disposition pour toute question ou remarque concernant la présente documentation technique.

http://www.swisscom.ch/grandes




Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 3/18

1 Les attaques DDoS, un risque bien réel

La gestion des risques d’une entreprise relève de la responsabilité de la direction. Il lui incombe d’examiner

régulièrement à titre préventif les risques de sécurité potentiels. Les environnements informatiques

entièrement en réseau présentent notamment des menaces de sécurité qui sont en constante évolution et

prennent sans cesse de nouvelles formes. Les attaques DDoS (Distributed Denial of Service) font partie de

ces risques informatiques. Ce livre blanc étudie en détail ce type de risques de sécurité et présente des

mécanismes de défense efficaces.

Au même titre que d’autres facteurs de risques (localisation et accès au bâtiment, protection incendie,

approvisionnement énergétique, accès aux documents internes, etc.), les attaques DDoS doivent être

incluses dans l’analyse des risques d’une entreprise en raison de la menace et des dégâts potentiels qu’elles

représentent. Des analyses de risques et des recommandations actuelles sont disponibles, entre autres, sur

le site Web de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information, à l’adresse

http://www.melani.admin.ch/dokumentation.

2 Description du problème

2.1 Situation initiale

Les attaques par déni de service («Denial of Service» - DoS) existent depuis les débuts d’Internet. Ces attaques

visent à limiter considérablement la disponibilité de certains systèmes et/ou services en ligne, voire d’en

rendre l’accès impossible. Pour ce faire, les attaquants essaient souvent de faire planter les systèmes via Internet en

exploitant les failles des systèmes d’exploitation, des programmes et services ou les vulnérabilités de

conception fondamentales des protocoles réseau utilisés.

2.1.1 Intention des attaquants et types d’attaque

La saturation des systèmes en ligne peut faire en sorte que leur fonctionnalité réelle ne soit plus garantie.

Les attaques DoS simples ne visent donc pas à dérober les données confidentielles ou à contourner les

mécanismes d’authentification des utilisateurs, mais à perturber sensiblement le fonctionnement, voire

paralyser complètement les plateformes de services de prestataires en ligne tels que les boutiques de

commerce électronique, les fournisseurs de contenus, les prestataires de services financiers (par ex. e-

banking), les institutions administratives (par ex. E-Government), etc. Les sites Web ou services attaqués

peuvent alors être inaccessibles pendant une durée allant de quelques minutes à plusieurs jours.

À la différence d’autres attaques, l’attaquant ne s’infiltre généralement pas dans des réseaux informatiques

et n’a donc pas besoin de mots de passe ou d’autres moyens d’accès similaires. Une attaque DoS peut

toutefois faire partie d’une attaque globale contre un système. Ainsi, il arrive par exemple qu’une attaque

DoS paralyse un système en ligne donné, afin de dissimuler une attaque réelle contre un autre système du

même client. L’attention du personnel informatique chargé de l’administration est détournée par le volume

massif du trafic des données, de sorte que la tentative d’attaque proprement dite passe inaperçue.

2.1.2 Évolution des attaques DoS

Les attaques DoS sont toujours plus sophistiquées et de plus en plus difficiles à détecter par les non-

spécialistes. Depuis plus d’une dizaine d’années, on observe le recours à une multitude de PC différents en

lieu et place d’un PC individuel pour mener une attaque coordonnée de grande ampleur contre des systèmes

en ligne ou des réseaux donnés. En règle générale, l’utilisateur individuel d’un PC faisant partie d’un tel


http://www.melani.admin.ch/dokumentation




Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 4/18

botnet ne constate aucune perte de performances lors d’une attaque en cours pendant qu’il travaille ou

surfe sur le net. Le nombre d’ordinateurs prenant part à une attaque peut aller de quelques centaines à

plusieurs centaines de milliers à la fois. Les PC impliqués dans une attaque peuvent être intégrés dans

Internet à l’échelle nationale, internationale ou intercontinentale. Dans ces attaques par déni de service

distribué (Distributed Denial-of-Service – DDoS), l’attaquant exploite les performances cumulées de

plusieurs PC. Ceci explique pourquoi il est possible de paralyser même des systèmes en ligne ultra-puissants

équipés de connexions réseau à large bande passante. En effet, ces réseaux fournissent eux-mêmes la

bande passante nécessaire.

2.1.3 Attaque DDoS à partir d’une adresse IP légitime

Une forme particulière d’attaque est l’attaque DRDoS («Distributed Reflected Denial of Service»). Dans ce

cas, l’attaquant n’envoie pas les paquets de données directement à la victime ciblée, mais à des services

Internet fonctionnant de façon régulière. Il saisit toutefois comme adresse d’expéditeur l’adresse IP de la

victime. De cette manière, il devient pratiquement impossible pour la victime attaquée de déterminer

l’origine de l’attaque. On appelle aussi «IP Spoofing» ce type de demandes de connexion falsifiées. La

réponse à celles-ci et la saturation du système qui en résulte constituent pour la victime l’attaque DoS

proprement dite.

2.1.4 Motivation des attaques DDoS

L’origine et les motifs de telles attaques sont divers et variés. Ils vont de l’insouciance «juvénile» de mordus

d’informatique sans motivation financière jusqu’aux actions de vengeance ou de protestation contre une

société ou une organisation, en passant par des organisations professionnelles de piratage informatique.

Ces dernières permettent à toute personne de commander et de payer par carte de crédit des attaques DDoS

via des portails en ligne. En contrepartie de sommes relativement modiques, des attaques gérées, par ex. sur

une durée de 24 heures, sont proposée en guise de test de résistance. Il n’est pas rare que des menaces

graves soient adressées à la victime ou que le racket soit à la base de telles attaques. Les organisations

professionnelles agissent clairement dans leur propre intérêt ou pour le compte de tiers.

Figure 1: Motifs des attaques DDoS (© ARBOR Networks)





Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 5/18

2.2 Condition préalable à une attaque DDoS

Les attaques par chantage basées sur une attaque DDoS sont généralement lancées via ce qu’on appelle des

botnets. Ceux-ci se composent de quelques dizaines à plusieurs centaines de milliers de machines infectées

par des chevaux de Troie ou des vers. L’exécution d’attaques DDoS est favorisée par le fait que la plupart des

ordinateurs connectés au réseau haut débit ont une adresse IP fixe et qu’ils restent la plupart du temps en

ligne. De ce fait, l’infection et l’intégration dans un botnet se produisent le plus souvent de manière

inaperçue, étant donné que la majorité des ordinateurs sont connectés à Internet sans la moindre protection

ou que les mécanismes de protection sont insuffisants. Les propriétaires de ces ordinateurs ne savent donc

même pas que leurs ordinateurs font partie d’un botnet. Les performances des PC impliqués dans une

attaque ainsi que la bande passante de la connexion sont généralement exploitées à un niveau

imperceptible pour l’utilisateur. Les botnets se composent de quelques centaines à plusieurs milliers de PC

infectés répartis sur toute la planète. Ces PC peuvent être utilisés abusivement par le

contrôleur/l’administrateur du botnet pour lancer des attaques programmées. La recrudescence

considérable des cas d’utilisation abusive d’ordinateurs en réseau est due en outre à la large utilisation du

protocole TCP/IP et à la vulgarisation quasi-universelle des connaissances en la matière.

Figure 2 : Sources botnets actives à l’échelle globale (http://atlas.arbor.net/worldmap/index)

2.3 Attaques DDoS

2.3.1 Principe de déroulement

Jusqu’à présent, on a enregistré entre autres les scénarios d’attaque suivants, thématisés dans des blogs ou

des forums:

Scénario 1

Une entreprise présente sur Internet reçoit une lettre de chantage lui enjoignant de verser une certaine

somme dans un délai déterminé. Au cas où la somme ne serait pas versée à la date fixée, l’attaque

mentionnée dans la lettre de chantage sera exécutée sur-le-champ. Les serveurs Web seront alors

inondés de requêtes. Selon la bande passante, le site Internet ainsi que les services électroniques offerts

(boutique en ligne, e-banking, etc.) deviendront rapidement inaccessibles.


http://atlas.arbor.net/worldmap/index




Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 6/18

Scénario 2

Le site Internet d’une entreprise est bloqué sans préavis par une attaque DDoS pour des raisons

inconnues. Lors de l’attaque, la victime reçoit par e-mail (par ex. via un accès Internet alternatif) ou par

fax une lettre de revendication la sommant de verser un montant sur un compte bancaire dans un délai

donné ou de remplir une autre condition. Si le paiement n’est pas effectué à l’expiration du délai fixé, les

attaques seront poursuivies.

Scénario 3

La plateforme en ligne d’une entreprise est attaquée sans aucun avertissement préalable. Le but d’une

telle action est de porter préjudice à l’entreprise de façon durable, l’attaque pouvant durer de quelques

minutes à plusieurs semaines.

2.3.2 Préparation et déroulement d’une attaque DDoS

Comme il a déjà été indiqué, une attaque DDoS est caractérisée par la participation de plusieurs systèmes

informatiques. À cet égard, on pourrait décrire la chaîne d’attaques ramifiée ou le réseau d’attaquants de la

façon suivante:

Un attaquant (également appelé client) mandate…

…un ou plusieurs maîtres (ou revendeurs). Ceux-ci gèrent…

…plusieurs démons (appelés aussi agents), qui se chargent d’attaquer…

…une victime.

Analyse

L’attaquant communique avec les différents maîtres via une connexion Internet (souvent à partir d’une

adresse IP usurpée). En utilisant des outils de scanning, il a pu obtenir leur adresse IP ou identifier les ports

TCP ou UDP ouverts. Des cibles d’attaque potentielles et leurs points faibles sont repérés via Internet

Security Scanner. De la même façon, l’attaquant accède aussi aux droits root sur les serveurs et recherche

simultanément les services et ports actifs («ouverts») sur les systèmes.

Création de scripts

Après avoir identifié les failles de sécurité, l’attaquant crée un script (= un programme à exécution

automatique) et le dépose sur les comptes volés. Ces scripts lui permettront ultérieurement d’exploiter

précisément ces failles de sécurité. Pour la création des fichiers scripts, l’attaquant utilise souvent des boîtes

à outils existantes, ce qui simplifie énormément la tâche. Une fois cela fait, l’attaquant détermine ses futurs

démons et maîtres. Des mémoires supplémentaires sont utilisées sur les systèmes maîtres pour y stocker les

«fichiers binaires précompilés» («pre-compiled binaries») des démons. Ensuite, l’attaquant crée à nouveau

un script, qui utilise la liste de machines «dont il a pris possession» et génère un autre script. Ce dernier

exécute automatiquement le processus d’installation en arrière-plan.





Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 7/18

Installation de scripts

Cette automatisation permet de créer un réseau DoS très étendu sans que les véritables propriétaires des

systèmes ne s’en rendent compte. Les programmes maîtres, qui jouent un rôle clé dans le réseau de

l’attaquant, sont finalement installés de façon minutieuse. Un «Rootkit» (kit administrateur) est installé en

option pour cacher la présence des programmes, fichiers et connexions réseau. Les programmes maîtres

sont principalement installés sur ce que l’on appelle des «Primary Name Server Hosts». Ces derniers étant

conçus pour un trafic réseau extrêmement volumineux, un grand nombre de connexions réseau peut être

cumulé sur ces serveurs. Ceci a deux avantages majeurs pour l’attaquant. D’une part, la charge de base

(processeurs et réseau) masque très bien le trafic réseau supplémentaire du maître. D’autre part, ces

serveurs ne seront pas retirés de manière précipitée du réseau, même en cas de soupçon de DDoS, car ils

sont très importants pour le propre réseau.

Début de l’attaque

Par la suite, l’attaquant envoie aux maîtres la commande d’attaque accompagnée des données de la victime

(adresse IP, numéro de port, type d’attaque, horaire de début et de fin). Ceci est le seul trafic provenant de sa

part lors de l’attaque. Après le signal de départ, la gestion et la coordination de l’attaque sont assumées par

les maîtres (= ordinateurs jouant le rôle de serveurs), qui gèrent chacun un certain nombre de démons

(processus tournant en arrière-plan). Pour éviter que la détection d’un maître par un analyseur de réseau ne

rende tous les démons inutilisables, les attaquants regroupent les maîtres en subdivisions à finalités

spécifiques. Les démons tournent pour leur part sur d’autres machines et peuvent être largement répartis

sur le réseau. L’attaque proprement dite n’a lieu qu’après intervention des démons sur ordre du maître. Il

peut s’agir, par exemple, d’une attaque SYN Flood où l’attaquant envoie un paquet au système victime afin

d’établir une connexion TCP (paquets SYS). Le système victime réserve alors un port et renvoie ce que l’on

appelle un paquet SYN-ACK. L’attaquant ayant toutefois spoofé son adresse IP (c’est-à-dire qu’il n’utilise pas

sa propre adresse IP), l’expéditeur ne reçoit aucune confirmation en retour. Le système victime répète

l’action et rejette définitivement la connexion réservée après une durée prédéterminée, qui peut être de

plusieurs minutes selon le système d’exploitation. Si cet établissement de connexion n’est pas exécuté

qu’une seule fois, mais très souvent et parallèlement, l’ordinateur va saturer en tentant de répondre aux

requêtes et finira donc par planter.

2.4 Évolution et conséquences des attaques DDoS

L’analyse des données recueillies par ARBOR Networks depuis 2002 en collaboration avec les principaux FAI

(fournisseurs d’accès Internet) démontre une augmentation significative de l’intensité par bande passante

des attaques DDoS et une fréquence élevée persistante. Les principales cibles d’attaque demeurent les

services Internet à caractère commercial, ainsi que les services réseau (par ex. Domain Name Server, DNS).

Les techniques les plus largement utilisées étaient avant tout UDP Flood (envoi d’une grande quantité de

paquets UDP à des ports sélectionnés au hasard, jusqu’à ce que ces derniers deviennent inaccessibles) et

TCP SYNC (temporisation de la procédure Handshake lors de l’établissement d’une connexion TCP).

Toutefois, d’autres vulnérabilités connues des protocoles d’application ont également été exploitées pour

l’attaque. La quantité et l’intensité des attaques DDoS ne cessent depuis d’augmenter.





Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 8/18

Figure 3: Évolution des attaques DDoS (© ARBOR Networks)

Expériences et observations pratiques

Trop souvent, malgré leur potentiel de menace élevé, les attaques DDoS

restent malheureusement insuffisamment voire pas du tout prises en

compte dans les analyses de risques des entreprises.

En raison de la menace clairement constituée qu’elles représentent, les

attaques DDoS devraient cependant être assimilées aux autres risques

connus dans le cadre des analyses de risques globales des entreprises.





Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 9/18

Figure 4: Nombre d’attaques DDoS par mois (© ARBOR Networks)

La non-disponibilité des services en ligne peut entraîner des pertes considérables en termes de chiffre

d’affaires. Ceci sans compter l’influence négative et durable sur l’image de la société et sur la

confiance des clients vis-à-vis de l’entreprise attaquée, notamment lorsque la part d’activités en ligne

de cette dernière est importante. Il est donc indispensable de disposer des outils de défense anti-DDoS

appropriés et des services correspondants proposés par des professionnels spécialisés, afin de pour

pouvoir détecter et parer toute attaque DDoS. Ils constituent la manière la plus rapide et la plus sûre

de maintenir le fonctionnement de sa propre plateforme de services en ligne. En effet, cela renforce

d’une part la confiance de la clientèle et assure, d’autre part, la constance des chiffres d’affaires de la

plateforme.

Figure 5: Durée moyenne requise pour la défense contre les attaques DDoS (© ARBOR Networks)





Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 10/18

3 Mesures de protection contre les attaques DDoS

3.1 Défense par la technique Blackhole

Une protection efficace contre les attaques visant la disponibilité de systèmes sécurisés ou non n’est en

principe possible que de façon très limitée avec des moyens informatiques. Les systèmes non sécurisés sont

notamment conçus pour autoriser la communication avec pratiquement chaque système et réagir de façon

dynamique aux variations de charge. Presque toutes les mesures connues visent essentiellement à

empêcher l’usage abusif des propres systèmes et réseaux pour une attaque DDoS. Il n’y a que peu de

mesures de protection efficaces permettant d’atténuer les conséquences des attaques. Les mesures de

protection employées jusqu’ici entraînaient par ex. l’arrêt des services attaqués via la technique «Blackhole».

Les flux de données indésirables reçus sur les ports de routeurs des passerelles backbone sont entièrement

réacheminés (->Route to Null0) et neutralisés.

Figure 6: Principe de la technique Blackhole

Avantages: La technique «Blackhole» protège l’infrastructure Web contre les attaques, même si ce n’est

que de manière partielle.

Inconvénient: Les flux de données étant supprimés dans leur intégralité, l’entreprise ne peut plus recevoir

des données en provenance de certaines portions du réseau. La lutte contre des flux de

données indésirables dans le backbone de l’ISP sur la base de la technique «Blackhole» est

complexe et requiert des connaissances approfondies en routage.





Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 11/18

3.2 Mesures de protection actuelles à l’aide du DDoS Protection Service

3.2.1 Caractéristiques générales

Le DDoS Protection Service est une option du service IP-Plus Business Internet de Swisscom, présentant les

caractéristiques suivantes :

Protection efficace de l’infrastructure Internet contre les attaques DDoS (capacité de filtrage allant

actuellement jusqu’à 40 Gbits/s)

En cas d’attaque DDoS, mise en alerte proactive par e-mail, SMS, SNMP Traps et Syslog

Accès autorisé aux «friendly user» pendant les attaques DDoS

Accès complet à la plateforme de gestion, y compris surveillance et reporting lors des attaques DDoS

Défense directe contre les attaques DDoS via la plateforme de gestion par l’administrateur sécurité ou

réseau

Identification et blocage dynamiques des attaques DDoS

Helpdesk/assistance assurés 7 j/7, 24 h/24, par l’équipe d’experts DDoS

Aucune installation matérielle n’est requise chez le client

Figure 7: Présentation du DDoS Protection Service (option du service IP-Plus Business Internet)

Avantages: Les débits de trafic sont contrôlés en permanence dans le Backbone sur la base du DDoS Protection

Service. En cas d’écart par rapport à la baseline (= historique de bande passante enregistré en continu

pendant 24 heures), une alarme de niveau bas, moyen ou élevé sera générée de manière proactive

selon l’écart observé et envoyée directement aux responsables du système par e-mail, SMS, SNMP

Traps ou Syslog. Sur la base des informations d’alarme, le client peut lutter de manière ciblée contre

l’attaque DDoS, directement ou avec l’aide de l’assistance de niveau 2 ou 3 du helpdesk Swisscom.

Inconvénient: L’évaluation des anomalies du trafic requiert des connaissances approfondies dans le domaine.

Si ces connaissances ne sont pas disponibles, les spécialistes Swisscom se tiennent volontiers à

disposition, 24 h/24.





Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 12/18

3.2.2 Traffic Anomaly Detection

La détection des anomalies du trafic (Traffic Anomaly Detection) est basée sur plusieurs systèmes Arbor

Peakflow. Ces derniers permettent d’enregistrer le flux de données dans le backbone Internet d’IP Plus et de

l’analyser afin de repérer les éventuelles anomalies. Les données Baseline sont saisies de manière continue

et dynamique à l’aide des systèmes Peakflow. Les données enregistrées à cet effet sont le jour de la semaine,

l’heure, la bande passante mesurée à cette date et la conformité du protocole. Ces données baseline servent

en fin de compte de données comparatives pour toute éventuelle alarme signalant des attaques DDoS. En

cas d’alarme, le niveau déclenché (bas, moyen, élevé) correspondra à l’écart entre le débit de la baseline et

celui du flux de données effectif. À l’aide de ces informations, le trafic peut être surveillé et analysé en

continu par rapport à sa propre infrastructure.

Figure 8: Vue de l’état du trafic via le portail clients

3.2.3 Threat Management System

Pour assurer la défense contre les attaques DDoS, Swisscom utilise ce qu’on appelle un système de gestion

des menaces (Threat Management System – TMS). En cas d’attaque, le trafic ou le flux de données en

direction du système attaqué peut être dévié via TMS. Le TMS peut non seulement analyser le trafic, mais

aussi distinguer et filtrer le trafic légitime du trafic malveillant. Le trafic filtré est ensuite réacheminé vers la

destination d’origine.





Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 13/18

4 DDoS Protection Service de Swisscom

4.1 Processus de filtrage d’une attaque DDoS

Les quatre étapes initiales du processus de filtrage d’une attaque DDoS sont:

1. Trafic DDoS supplémentaire

2. Détection de l’attaque DDoS indésirable

3. Alarme automatique via DDoS Protection Service

4. Activation manuelle via la plateforme de gestion de la protection anti-DDoS

Figure 9: Défense contre une attaque DDoS (1/2)

Le processus de filtrage d’une attaque DDoS inclut ensuite les trois étapes suivantes:

1. Reroutage de l’attaque DDoS

2. Filtrage actif du trafic DDoS

3. Réacheminement normal du trafic légitime





Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 14/18

Figure 10: Défense contre une attaque DDoS (2/2)

La fonction de filtrage du TMS est dans tous les cas activée par le client. En effet, la connaissance qu’il a du

fonctionnement de son réseau évitera les alarmes intempestives, qui peuvent par ex. être déclenchées par

une mise à jour logicielle programmée, susceptible d’être perçue comme une anomalie de trafic par le DDoS

Protection Service.

Les possibilités d’activation sont les suivantes:

Activation directe du TMS à l’aide du nom d’utilisateur/mot de passe sur un site web protégé, y

compris authentification sécurisée par un certificat client.

Activation ou assistance via Helpdesk, 7 j/7, 24 h/24, avec les temps de réaction suivants:

Lun.-ven : 7h00-18h00 Lun.-dim.: 18h00-7h00

Par télémaintenance < 1 h < 2 h

Au cas où l’accès du client à Internet serait bloqué en raison de l’attaque, l’accès au TMS pourra s’effectuer

alternativement via une connexion Mobile Unlimited, une liaison xDSL dédiée, ou par le biais d’autres

technologies d’accès Internet via un navigateur Web.





Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 15/18

4.2 Option DDoS Protection enhanced

Pour une protection encore plus efficace, l’option DDoS Protection enhanced peut être mise en place en

guise de service supplémentaire. Elle est basée sur un équipement matériel mis en œuvre sur le site client au

niveau de la transition WAN-LAN. Ce dispositif analyse en permanence le trafic «entrant» jusqu’à couche OSI

applicative (couche 7) y compris. Une fonction SSL Inspection permet de détecter et de neutraliser les

attaques croissantes via des sessions IP cryptées. Sur la base des règles définies, le niveau d’anomalie est

vérifié en permanence et le trafic émanant de toute évidence d’une attaque est automatiquement filtré. En

cas de dépassement d’un niveau d’anomalie défini, de l’aide est demandée sur le cloud via Cloud Signaling.

Si l’opérateur décide de désamorcer la situation (mitigation), le DDoS Protection Service définit une nouvelle

BGP Host Route pour l’adresse IP attaquée avec une «Anycast address» en guise de Next-Hop. Le trafic est

redirigé via le Threat Management System (TMS), filtré et directement renvoyé sur le routeur client via un

tunnel GRE, sans le trafic lié à l’attaque.

Figure 11: Protection accrue contre les attaques DDoS avec DDoS Protection enhanced

L’option DDoS Protection enhanced étend le niveau de sécurité sur l’ensemble des sept couches OSI. Les

principaux avantages sont les suivants:

Protection immédiate au niveau des applications contre les attaques DDoS susceptibles de

compromettre la disponibilité des services et des applications.

Détection et blocage automatique des attaques DDoS, avant que celles-ci n’entravent les

performances des services. L’intervention de l’utilisateur requise étant minime voire inexistante, la

charge de travail des responsables de la sécurité informatique en est allégée.





Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 16/18

5 Récapitulatif

5.1 Variantes de solution

Actuellement, le client peut choisir entre trois solutions:

1. L’infrastructure du client ne dispose d’aucun mécanisme de défense contre les attaques DDoS. Une

attaque peut alors être effective en très peu de temps et provoquer la mise hors ligne du site

Internet.

2. Un dispositif anti-DDoS est intégré devant le pare-feu sur le site du client. Si la bande passante de

l’attaque DDoS dépasse toutefois celle de l’accès réseau, le site Internet sera également

inaccessible.

3. La troisième solution, et la plus efficace, consiste à détecter l’attaque DDoS et à la filtrer avant

qu’elle n’atteigne le backbone de l’ISP. Cette configuration permet de filtrer le trafic malveillant tout

en assurant le routage du trafic légitime vers le service Web. Le mode en ligne peut ainsi être

totalement assuré.

Figure 12: Possibles solutions de défense contre une attaque DDoS

L’option DDoS Protection enhanced offre une protection supplémentaire grâce à l’analyse locale

permanente du trafic entrant des couches OSI 7.





Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 17/18

5.2 Potentiel de dangers et de dommages

Au cours des 12 derniers mois, la Suisse a connu une augmentation exceptionnelle d’attaques DDoS dirigées

contre des entreprises de différents secteurs et des organisations politiques. Dans le cadre d’une étude de

cas, une attaque DDoS réelle menée contre une entreprise disposant d’une plateforme en ligne a été

documentée, de même que son déroulement et les moyens de défense employés. Le trafic analysé de

l’attaque provenait principalement du Pérou, du Chili, de la Chine, de Taïwan, des États-Unis, de l’Égypte et

du Kenya. L’historique de la bande passante montrait clairement que cette attaque était activement dirigée

contre le client.

Ce fait s’était manifesté, entre autres, par un autre pic de trafic deux jours après le début de la première

attaque. L’attaquant voulait ainsi vérifier si une nouvelle intensification du trafic malveillant pourrait

perturber le service en ligne. Cette tentative a toutefois également échoué grâce au DDoS Protection Service

de Swisscom. Sans l’activation de ce service de protection, le service en ligne du client concerné serait resté

inaccessible pendant au moins deux jours et les dégâts auraient été énormes – d’une part, les dommages

financiers (pertes de chiffre d’affaires) et d’autre part, une dégradation difficilement quantifiable, mais

certainement durable de l’image de l’entreprise.

5.3 Managed Service

Le DDoS Protection Service est installé dans le backbone IP-Plus Business Internet en tant que service géré

par Swisscom en s’appuyant sur la plage d’adresses IP souhaitée par le client. Cette configuration permet de

surveiller en continu l’accès Internet pour repérer les éventuelles anomalies et alerter le client en fonction

des limites définies de bande passante. Grâce à l’accès direct au TMS, le client dispose d’un outil efficace lui

permettant d’analyser en détail le trafic de données en direction de son infrastructure et de le protéger

immédiatement en cas d’attaque. Bien évidemment, le client est assisté de manière optimale par Swisscom.





Grandes Entreprises

Case postale

CH - 3050 Berne






Version 3.1


Datum 01.03.2016 Seite 18/18

6 Glossaire

Terme Explication

AS Autonomous System

ASN Autonomous System Number

BGP Border Gateway Protocol

Blackhole Les «Blackholes» sont utilisés pour acheminer vers l’interface Null0 tous les paquets IP

envoyés à un système attaqué.

Botnet On entend par botnet un réseau commandé à distance de PC qui a été infecté par des

vers, chevaux de Troie, ou autres, et qui peut être utilisé abusivement pour mener des

attaques ciblées.

CPE Customer Premises Equipment

DDoS Distributed Denial of Service (déni de service distribué)

DNS Domain Name System

HTTPS Secure Hyper Text Transport Protocol

GRE Generic Routing Encapsulation (sert à l’encapsulation d’autres protocoles et à leur

transport via IP sous la forme d’un tunnel)

IP Internet Protocol

ISP Internet Service Provider

Mpps Mégapaquets par seconde

OSI Open System Interconnection (modèle de référence pour les réseaux de données,

composé de sept couches de communication ayant chacune une fonction distincte)

PC Personal Computer

SAP Point d’accès du service

SMS Short Message Service

SNMP Simple Network Management Protocol (permet de gérer des éléments du réseau tels

que les routeurs, les switches, les imprimantes, etc.)

SSL Secure Sockets Layer (protocole de chiffrement visant à sécuriser les transferts de

données)

TCP Transmission Control Protocol

TMS Threat Management System

UDP User Datagram Protocol


ddos protection service -...

Documents