Présentation
EnglishRÉSUMÉ
Les attaques sont protéiformes tant par leur nature que par leur amplitude et leur portée de nuisance. Les solutions classiques de mitigation locale ne sont pas optimales pour certaines attaques car les actions de mitigation n’auront qu’une portée limitée à celle du périmètre du service de mitigation, sans préjuger des dégâts que pourrait infliger l’attaque dans d’autres régions du réseau. Ainsi, une réponse coordonnée et distribuée de la part de plusieurs services de mitigation est à même de répondre à des attaques largement distribuées. Cet article décrit une architecture de mitigation collaborative impliquant plusieurs services de mitigation pour une meilleure gestion proactive et automatique de ces attaques.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Mohamed BOUCADAIR : Architecte de réseaux et services IP - Orange
-
Christian JACQUENET : Directeur des Programmes Stratégiques Réseaux IP - Orange
INTRODUCTION
Une attaque DDoS (Distributed Denial of Service) est une tentative de rendre indisponibles pour leurs utilisateurs des ressources réseau, des ressources de calcul, voire l’accès à des services. Dans la plupart des cas, de telles attaques peuvent être massives et de nature à compromettre plusieurs centaines de milliers de terminaux qui peuvent à leur tour être utilisés comme relais pour amplifier le pouvoir de nuisance de l’attaque. L’édition 2019 du rapport Symantec fait notamment état :
-
de 24 000 applications embarquées dans des terminaux mobiles et qui sont bloquées quotidiennement ;
-
d’une augmentation de 600 % entre 2016 et 2017 du nombre d’attaques ayant visé des objets connectés (Internet des Objets) ;
-
d’une augmentation de la volumétrie du trafic d’attaque entre 2016 et 2017. En 2016, le trafic d’attaque représentait 5 % du trafic Web global et 7,8 % en 2017.
De récentes statistiques indiquent également une évolution sensible de la durée des attaques : la grande majorité (77 %) des attaques détectées en 2017 a duré plus d’une heure, et 6 % d’entre elles ont duré au moins 12 heures, voire plus d’une journée (3 %). Au cours du dernier trimestre 2018, une attaque a duré 329 heures (pratiquement deux semaines), selon les données d’un rapport Kaspersky.
L’ampleur de telles attaques en termes de durée mais aussi en termes de propagation complique encore un peu plus la tâche du ou des services de protection (appelés DMS pour DDoS Mitigation Service, service de mitigation d'attaques DDoS) susceptibles d’être mobilisés pour la résolution de ces attaques.
En outre, le rapport ATLAS a révélé que :
-
274 attaques ont dépassé le seuil de 100 Gbit/s au premier semestre 2016 contre 223 attaques pour toute l’année 2015 ;
-
46 attaques ont dépassé le seuil de 200 Gbit/s au premier semestre 2016, alors que seulement 16 attaques ont été observées en 2015 ;
-
les États-Unis, la France et la Grande-Bretagne sont les cibles privilégiées des attaques dont le volume dépasse 10 Gbit/s.
Depuis la publication de ces rapports, les attaques DDoS sont de plus en plus fréquentes et intenses, comme l’attaque subie par un fournisseur français, et dont le volume a dépassé 1 Tbit/s. De plus, avec l’avènement des « Booters » (ou « stressers », plateformes de vente de déni de service) et le concept de « DDoS-as-a-Service », exécuter des attaques DDoS à grande échelle est pratiquement devenu à la portée de tous.
Selon une autre étude :
-
plus de 20 millions d’attaques d’usurpation d’adresse IP ciblant plus de 2 millions des préfixes IPv4 (/24) ont été réalisées. Ces préfixes représentent plus d’un tiers des préfixes annoncés sur Internet ;
-
4,3 % des cibles des attaques ont souscrit à une offre de mitigation DMS après avoir subi l’attaque (section 1).
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cybersécurité : attaques et mesures de protection des SI > Réseaux de communication protecteurs - Des réponses coordonnées à des attaques distribuées > Introduction
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
1. Introduction
1.1 Hémergence de services de mitigation
De plus en plus d’offres DMS sont hébergées dans le « cloud » et pas seulement au sein des infrastructures exploitées par les fournisseurs d’accès.
Ces déploiements soulèvent certains problèmes techniques tels que la détection anticipée des attaques car le service DMS n’est pas forcément présent sur les chemins pour joindre un réseau victime d’une attaque.
Des palliatifs peuvent être considérés, tels que la mise en place de tunnels pour forcer l’intégralité du trafic entrant sur un site ou un réseau à être inspecté par le service DMS. Cependant, cette ingénierie reposant sur l’établissement de tunnels augmente considérablement la latence observée par les utilisateurs et impose des contraintes de dimensionnement du service DMS pour être en mesure de traiter tout le trafic entrant de tous les clients, sans pour autant dégrader la performance ou le niveau de qualité du service fourni au client.
En plus de la mitigation, un service DMS doit coordonner les opérations d’acheminement de trafic pour que le trafic légitime soit acheminé normalement vers le domaine client tandis que le trafic d’attaque est redirigé vers un puits de trafic ou un « pot de miel ». Pour ce faire, le service DMS doit identifier le trafic suspect et ensuite l’isoler. Un centre de « nettoyage » (« scrubbing ») est utilisé à cet effet par le DMS.
Même si le service DMS est présent sur le chemin du trafic (y compris le trafic d’attaque) entrant dans un réseau (cas des fournisseurs d’accès offrant le service DMS), l’identification du trafic suspect reste compliquée, notamment par l’émergence de protocoles tels que le protocole QUIC qui chiffre la majeure partie des données véhiculées dans un canal QUIC. En effet, l’augmentation du trafic chiffré pose ainsi des problèmes techniques pour l’identification et le traitement du trafic caractéristique d’une attaque de déni de service. Il est difficile de distinguer le trafic légitime (c’est-à-dire celui reçu avec le consentement d’un utilisateur) du trafic suspect.
Par exemple, la difficulté d’accéder en clair aux messages de contrôle QUIC similaires à ceux du protocole TCP (Transmission Control Protocol) complique sensiblement...
TEST DE VALIDATION ET CERTIFICATION CerT.I. :
Cet article vous permet de préparer une certification CerT.I.
Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.
de Techniques de l’Ingénieur ! Acheter le module
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Introduction
BIBLIOGRAPHIE
-
(1) - BOUCADAIR (M.), Ed, REDDY (T.K.), Ed - Distributed Denial-of-Service Open Threat Signaling (DOTS) Data Channel Specification. - RFC 8783, DOI 10.17487/RFC8783, https://www.rfc-editor.org/info/rfc8783 (2020).
-
(2) - REDDY (K.T.), Ed, BOUCADAIR (M.), Ed, PATIL (P.), MORTENSEN, (A.), TEAGUE (N.) - Distributed Denial-of-Service Open Threat Signaling (DOTS) Signal Channel Specification. - RFC 8782, DOI 10.17487/RFC8782, https://www.rfc-editor.org/info/rfc8782 (2020).
-
(3) - RESCORLA (E.) - The Transport Layer Security (TLS) Protocol Version 1.3. - RFC 8446, DOI 10.17487/RFC8446, https://www.rfc-editor.org/info/rfc8446 (2018).
-
(4) - BORMANN (C.), HOFFMAN (P.) - Concise Binary Object Representation (CBOR). - RFC 7049, DOI 10.17487/RFC7049, https://www.rfc-editor.org/info/rfc7049 (2013).
-
(5) - RESCORLA (E.), MODADUGU (N.) - Datagram Transport Layer Security Version 1.2. - RFC 6347, DOI 10.17487/RFC6347, https://www.rfc-editor.org/info/rfc6347 (2012).
- ...
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE
1/ Quiz d'entraînement
Entraînez vous autant que vous le voulez avec les quiz d'entraînement.
2/ Test de validation
Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.
Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive