Présentation

Article interactif

1 - INTRODUCTION

  • 1.1 - Hémergence de services de mitigation
  • 1.2 - Un service de mitigation est à portée limitée
  • 1.3 - De la difficulté de traiter des attaques massives, protéiformes et de longue durée
  • 1.4 - De l’impossibilité de fiabiliser des informations descriptives d’attaques en cours
  • 1.5 - Besoin de gestion proactive des attaques

2 - AUTOMATISER LE RECOURS AUX SERVICES DE MITIGATION

3 - ARCHITECTURE PRONET

4 - SOUSCRIPTION AU SERVICE PRONET

5 - NOTIFICATIONS PRONET ENTRE DMS

6 - NOTIFICATIONS PRONET ENTRE DMS ET FAI

7 - PERSPECTIVES

8 - GLOSSAIRE

Article de référence | Réf : TE7750 v1

Souscription au service ProNet
Réseaux de communication protecteurs - Des réponses coordonnées à des attaques distribuées

Auteur(s) : Mohamed BOUCADAIR, Christian JACQUENET

Relu et validé le 24 août 2021

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

Les attaques sont protéiformes tant par leur nature que par leur amplitude et leur portée de nuisance. Les solutions classiques de mitigation locale ne sont pas optimales pour certaines attaques car les actions de mitigation n’auront qu’une portée limitée à celle du périmètre du service de mitigation, sans préjuger des dégâts que pourrait infliger l’attaque dans d’autres régions du réseau. Ainsi, une réponse coordonnée et distribuée de la part de plusieurs services de mitigation est à même de répondre à des attaques largement distribuées. Cet article décrit une architecture de mitigation collaborative impliquant plusieurs services de mitigation pour une meilleure gestion proactive et automatique de ces attaques.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Protective Networking (ProNet). A framework for coordinated responses to distributed attacks

Attacks are increasing in amplitude, scale, and duration. Furthermore, performing large-scale DDoS attacks has become within everyone's reach. Detecting and mitigating attacks therefore takes more time. Mitigation actions are taken in local networks or by an upstream protection service following local procedures. Such approaches are static and sub-optimal. Distributed responses and coordination means would therefore help mitigate distributed attacks at the largest scales. This document sketches a proposal that enables efficient collaboration and facilitates the exchange of security practices among trusted parties. It also facilitates the automation of the execution of appropriate countermeasures, and the translation of such countermeasures into commands that will be enforced in the network.  

Auteur(s)

INTRODUCTION

Une attaque DDoS (Distributed Denial of Service) est une tentative de rendre indisponibles pour leurs utilisateurs des ressources réseau, des ressources de calcul, voire l’accès à des services. Dans la plupart des cas, de telles attaques peuvent être massives et de nature à compromettre plusieurs centaines de milliers de terminaux qui peuvent à leur tour être utilisés comme relais pour amplifier le pouvoir de nuisance de l’attaque. L’édition 2019 du rapport Symantec fait notamment état :

  • de 24 000 applications embarquées dans des terminaux mobiles et qui sont bloquées quotidiennement ;

  • d’une augmentation de 600 % entre 2016 et 2017 du nombre d’attaques ayant visé des objets connectés (Internet des Objets) ;

  • d’une augmentation de la volumétrie du trafic d’attaque entre 2016 et 2017. En 2016, le trafic d’attaque représentait 5 % du trafic Web global et 7,8 % en 2017.

De récentes statistiques indiquent également une évolution sensible de la durée des attaques : la grande majorité (77 %) des attaques détectées en 2017 a duré plus d’une heure, et 6 % d’entre elles ont duré au moins 12 heures, voire plus d’une journée (3 %). Au cours du dernier trimestre 2018, une attaque a duré 329 heures (pratiquement deux semaines), selon les données d’un rapport Kaspersky.

L’ampleur de telles attaques en termes de durée mais aussi en termes de propagation complique encore un peu plus la tâche du ou des services de protection (appelés DMS pour DDoS Mitigation Service, service de mitigation d'attaques DDoS) susceptibles d’être mobilisés pour la résolution de ces attaques.

En outre, le rapport ATLAS a révélé que :

  • 274 attaques ont dépassé le seuil de 100 Gbit/s au premier semestre 2016 contre 223 attaques pour toute l’année 2015 ;

  • 46 attaques ont dépassé le seuil de 200 Gbit/s au premier semestre 2016, alors que seulement 16 attaques ont été observées en 2015 ;

  • les États-Unis, la France et la Grande-Bretagne sont les cibles privilégiées des attaques dont le volume dépasse 10 Gbit/s.

Depuis la publication de ces rapports, les attaques DDoS sont de plus en plus fréquentes et intenses, comme l’attaque subie par un fournisseur français, et dont le volume a dépassé 1 Tbit/s. De plus, avec l’avènement des « Booters » (ou « stressers », plateformes de vente de déni de service) et le concept de « DDoS-as-a-Service », exécuter des attaques DDoS à grande échelle est pratiquement devenu à la portée de tous.

Selon une autre étude :

  • plus de 20 millions d’attaques d’usurpation d’adresse IP ciblant plus de 2 millions des préfixes IPv4 (/24) ont été réalisées. Ces préfixes représentent plus d’un tiers des préfixes annoncés sur Internet ;

  • 4,3 % des cibles des attaques ont souscrit à une offre de mitigation DMS après avoir subi l’attaque (section 1).

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

security   |   cyberdefense   |   mitigation   |   attack   |   distributed denial of service (DDoS)   |   protective networkings

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-te7750


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais En anglais

4. Souscription au service ProNet

Pour souscrire au service ProNet, un agent DPA d’un domaine DMS doit émettre un message SUBSCRIBE vers un DPA appartenant à un DMS externe ou à un répartiteur FD (figure 21).

Le message SUBSCRIBE peut inclure typiquement les paramètres suivants :

  • SERVICE-TYPE : indique la nature du/des services de protection ProNet demandé(s). Si aucune valeur n’est indiquée, alors l’agent DPA distant interprète le message comme une demande de souscription au service DDoS. Les valeurs suivantes peuvent être indiquées dans un message SUBSCRIBE :

    • 0 : Tous les services de protection de sécurité supportés par le DMS destinataire,

    • 1 : Service DDoS,

    • 2 : Service de détection de virus,

    • 3 : Service SPAM,

    • 4 : Service SPIT (SPAM over IP Telephony).

    Un même message peut être utilisé pour indiquer plusieurs types de service. Optionnellement, des messages dédiés peuvent être envoyés par service ;

  • VERBOSE-MODE : ce paramètre indique le niveau de granularité des notifications souscrites par un agent DPA. Les valeurs suivantes sont définies :

    • 0 : seules les alertes relatives aux attaques critiques sont envoyées (voir section 3.12.2 du ). Une attaque est dite critique si la volumétrie du trafic relatif à cette attaque dépasse un certain seuil, si elle implique un certain nombre de machines, si elle dure plus de X minutes, etc. Cette valeur est utilisée par défaut,

    • (« Customized ») : seules les alertes qui correspondent aux filtres indiqués par un agent DPA sont envoyées. Un filtre peut être défini par un ou plusieurs attributs tels que :

      ▪ protocole : renseigne un protocole spécifique tel qu’UDP, TCP, NTP, DNS, etc.

      ▪ numéro de port : renseigne un numéro de port spécifique tel que 80, 23, 443, etc. Une plage de numéros de port peut être spécifiée,

      ▪ taille des paquets caractéristiques de l’attaque ;

  • NOTIFICATION-DPA :...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

TEST DE VALIDATION ET CERTIFICATION CerT.I. :

Cet article vous permet de préparer une certification CerT.I.

Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.

Obtenez CerT.I., la certification
de Techniques de l’Ingénieur !
Acheter le module

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Souscription au service ProNet
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - BOUCADAIR (M.), Ed, REDDY (T.K.), Ed -   Distributed Denial-of-Service Open Threat Signaling (DOTS) Data Channel Specification.  -  RFC 8783, DOI 10.17487/RFC8783, https://www.rfc-editor.org/info/rfc8783 (2020).

  • (2) - REDDY (K.T.), Ed, BOUCADAIR (M.), Ed, PATIL (P.), MORTENSEN, (A.), TEAGUE (N.) -   Distributed Denial-of-Service Open Threat Signaling (DOTS) Signal Channel Specification.  -  RFC 8782, DOI 10.17487/RFC8782, https://www.rfc-editor.org/info/rfc8782 (2020).

  • (3) - RESCORLA (E.) -   The Transport Layer Security (TLS) Protocol Version 1.3.  -  RFC 8446, DOI 10.17487/RFC8446, https://www.rfc-editor.org/info/rfc8446 (2018).

  • (4) - BORMANN (C.), HOFFMAN (P.) -   Concise Binary Object Representation (CBOR).  -  RFC 7049, DOI 10.17487/RFC7049, https://www.rfc-editor.org/info/rfc7049 (2013).

  • (5) - RESCORLA (E.), MODADUGU (N.) -   Datagram Transport Layer Security Version 1.2.  -  RFC 6347, DOI 10.17487/RFC6347, https://www.rfc-editor.org/info/rfc6347 (2012).

  • ...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Sommaire

QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE

1/ Quiz d'entraînement

Entraînez vous autant que vous le voulez avec les quiz d'entraînement.

2/ Test de validation

Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.

Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS