L'évolution de la menace DDoS

Qu'est-ce qu'un DDoS ?

Le DDoS est un Déni de Service Distribué, c'est-à-dire une attaque visant à rendre indisponible un système informatique. Pour y parvenir, le DDoS va saturer les ressources nécessaires ou congestionner les liens, rendant ainsi le service inaccessible. La plupart du temps, les attaques sont lancées par un large panel d'équipements détournés (ordinateurs personnels compromis, objets connectés comme des caméras de surveillance) ou via des machines dédiées (datacenters ou serveurs infectés, etc), dans le but de générer du flux et attaquer la cible. Il faut noter que pour être encore plus efficaces (d’un point de vue de l’attaquant), les sources d’attaques par déni de service sont généralement réparties géographiquement et coordonnées afin de rendre plus difficile le filtrage et le blocage de ces trafics illégitimes. De plus, les attaques qui utilisent de multiples vecteurs (méthodologie d’attaque et typologie des fluxs) se généralisent de plus en plus. Le filtrage de ces attaques combinées nécessite alors plus d’expertise et une capacité d’analyse accrue.

Pour rappel, il existe trois grandes familles d’attaques DDoS:

• Au niveau de la volumétrie. Ici, le but est de saturer le lien qui permet de communiquer avec la cible, à travers l’envoi massif de données. Par exemple, une entreprise dispose d'un serveur avec 2Gb/s de bande passante vers l’Internet et 10 Gb/s pour les périodes de pics de trafic (burst). Pour les attaquants, le but va être d'envoyer un maximum de paquets de données pour atteindre la limite des 10 Gb/s voire largement les dépasser. Le résultat, c'est que les utilisateurs clients ne pourront plus se connecter au serveur visé, faute de bande passante disponible. Ces attaques sont généralement mesurées en bits par seconde. 
  
• Au niveau des protocoles. Dans ce cas, le but est de consommer le maximum de ressources sur le serveur et les équipements intermédiaires (firewalls, routeurs) à utiliser leurs propres ressources (mémoire, etc) jusqu'à les saturer (un nombre de connexions simultanées trop important pour un firewall, par exemple qui va saturer ses tables). Ces attaques sont généralement mesurées en paquets par seconde.
  
• Au niveau applicatif. Ce type d'attaque est plus complexe, car il utilise différents protocoles applicatifs (protocoles http, ftp, ntp, etc.). Les attaquants vont, par exemple, se faire passer pour des utilisateurs légitimes d'un site de paiement en ligne, au niveau applicatif et solliciter de manière indue la chaine de traitement des requêtes.. Le résultat est le même que lors de l’épuisement des ressources (infra): on sature l'application et sa réactivité nominale. Ces attaques sont généralement mesurées en requêtes par seconde.

Les techniques du DDoS : 

• Flood UDP : les pirates vont utiliser l'User Datagram Protocol (un protocole sans session).  Si le port est ouvert, le serveur va traiter la requête. S'il est fermé, il va répondre : dans les deux cas, une réponse est envoyée. En multipliant les paquets de données UDP, le DDoS va parvenir à saturer le serveur. Souvent, les pirates vont aussi faire ce qu'on appelle du spoofing. Cela signifie qu'ils vont se faire passer pour d'autres adresses IP (usurpation d’IP), en sorte que le serveur interrogé réponde à à la cible, plutôt qu’au réel émetteur, c’est-à-dire le pirate.

• ICMP flood (ou ping flood): cette attaque passe par le protocole ICMP ((Internet Control Message Protocol). Elle vise à contacter (echo request) une machine en se faisant passer pour la cible.  Le serveur va donc naturellement répondre (echo reply). Si l'opération est réalisée des millions de fois en même temps, sans attendre la réponse du serveur, la machine ciblée recevra alors des millions de réponses… cela revient ainsi à du flood. 
  

• SYN flood : ici, on monte dans les couches (OSI). L'attaque utilise le protocole TCP, donc en mode connecté, Les pirates vont envoyer un paquet de SYN (des demandes de connexion). Si le port est ouvert, le serveur va allouer une ressource. Mais le pirate n’enverra jamais la suite des données, maintenant ainsi ouverte la connexion. Si cette procédure est menée des millions de fois en même temps, elle va également saturer le serveur qui allouera toutes ses ressources à la gestion des connexions… les nouveaux utilisateurs (légitimes) ne pourront ainsi plus se connecter
  

• Le « ping de la mort » : ce type d'attaque est ancien mais il fonctionne toujours… Il joue sur la fragmentation utilisée par certains protocoles pour s'adapter aux routeurs, systèmes d'exploitation, etc. Cela leur permet de lire les paquets d'informations couche après couche. Mais si des pirates envoient trop de paquets fragmentés (censés appartenir a la même session), sans jamais donner le dernier morceau, cela va saturer la reconstruction des fragments. Notez que ces DDoS sont même en mesure de créer des corruptions de mémoire. 
  

Les nouvelles techniques utilisées par les pirates informatiques: 

Pour mener leurs attaques DDoS, les pirates font appel à de nouvelles approches.

L'attaque protocolaire http (type Slowloris) : il permet d'attaquer les serveurs sur la couche HTTP. Le script envoie une requête normale, exactement comme sur un site web, mais sans jamais demander la suite. De son côté, le serveur va initier une connexion et il va la laisse durer (i.e. comme le SYN flood). Face à une multiplication des requêtes, un maximum de ressources va devoir être utilisé sur les serveurs, ce qui va entraîner la saturation du pool.

L'amplification NTP ou DNS: en se faisant passer pour la cible, cette technique permet d'envoyer une petite requête (adresse IP ou nom de domaine), dans le but d'obtenir une grosse réponse (zone géographique, etc). Cette technique est notamment utilisée pour attaquer les serveurs NTP (synchronisation temporelle, importante pour les transactions financières, etc). Or, quand ils sont mal configurés, les serveurs NTP ont des fonctions de supervision native vulnérables : si un million de machines font une demande de liste des 600 dernières connexions, par exemple, et auprès de 200 000 serveurs, on parlera alors de « sacrée » amplification.

Il suffit donc que le pirate annonce une IP source usurpée pour que la réponse de tous ces serveurs NTP inonde la cible ! 

Le flood http : le but est ici d’épuiser les ressources d’un serveur en lançant simultanément des demandes ou l’envoi de données, qui empêche le serveur de recevoir / envoyer des données aux utilisateurs légitimes. 

Pour maximiser l’effet d’une telle attaque, celle-ci peut être lancée via un script ou un botnet (pc « zombi », contrôlé par le pirate) qui pourra tenter, par exemple, de rafraichir un site un nombre important de fois. Il faut également savoir que derrière ces bots, se cachent souvent des sites infectés eux-mêmes.

Le risque majeur : la tendance combinatoire des attaques DDoS :

Notez que parmi les principales tendances, en matière d'attaques DDoS, il faut savoir que 70% des attaques combinent désormais plusieurs techniques (vecteurs multiples). 

Fin Septembre, un Blog traitant de la Sécurité a dénoncé deux pirates israéliens qui hébergeaient un « IP booter / IP stresser » (plateforme « clef en main » d’attaque DDoS), baptisé Vdos. La police les arrêta grâce à une faille identifiée sur leur site

En représailles, le site en question, KrebsOnSecurity  a subi une attaque d’envergure, atteignant 600 Gb/s de trafic grâce à la prise de contrôle de plusieurs milliers de caméras et autres appareils détournés. Un niveau de volume d’attaques qui n’avaient jusqu’à présent jamais été atteinte. Quelques jours plus tard, un pirate s'est proclamé l’auteur des outils, ceci sur un forum de hackers, et a également publié le code source de son programme permettant le contrôle / prise de contrôle des caméras ciblées, et ainsi le lancement d’attaques DDoS (code « Mirai »). 

Ce qui est ici intéressant, c'est qu'à l'intérieur de ce code, on distingue des identifiants, logins et mots de passe testés pour se connecter aux caméras. Le code scanne en effet toutes les IP possibles et fait du « brute-force attack à partir d’un dictionnaire restreint de login/password » (ceux des fabricants, les dates connues, les comptes par défaut, etc). Une fois connecté à une machine, le botnet change le mot de passe et installe le code malveillant. Les caméras sont alors enrôlées dans l’infrastructure de C&C et ont ensuite la possibilité de lancer plusieurs types d’attaques différentes citées précédemment ! 

Comment se protéger des DDoS avec SFR Business :

SFR Business considère qu'une attaque DDoS est un évènement. Même si les médias en parlent beaucoup, une entreprise moyenne n'en subit pas plus de 5 par an. Donc, il est difficile de conserver en interne une compétence en cybersécurité. C'est la raison pour laquelle SFR croit aux modèles managés. SFR Business propose donc aux entreprises, une protection à 360 degrés, hybride : c’est-à-dire à la fois par une brique « on premise », installée directement sur le site au plus près de l’applicatif à protéger (sur les datacenters internes par exemple) et une protection en cœur du réseau pour la plus grande efficacité pour contrer les attaques volumétriques. 

Pourquoi ? Parce qu’une réelle protection n’est possible qu’à deux conditions : 

• Avoir une pleine visibilité sur l’attaque (au plus proche de l’attaque et au plus proche des éléments à protéger) ;
  
• Avoir des équipes connaissant le périmètre ciblé et des interlocuteurs experts pour analyser les remontées d'alertes, et ainsi permettre appliquer rapidement la réponse adaptée à la menace DDoS, tout en tenant compte de l’impact sur l’activité métier de l’entreprise 
  

Dans le cadre de cette stratégie, SFR Business est en capacité d’accompagner les entreprises, que cela concerne la mise en place d'une stratégie sur la sécurité informatique, le conseil sur le déploiement d'une solution et la continuité opérationnelle des solutions installées pour lutter efficacement contre les attaques DDoS.