Comment réagir à une attaque par déni de service

Comment réagir à une attaque par déni de service Comment détecter à temps l'attaque et essayer de remonter à sa source ? Quelles sont les techniques employées pour la stopper ? Réponses avec l'expert en sécurité Jean-François Audenard d'Orange Business Services.

Plus ou moins sophistiquées, les attaques par déni de service (DDOS) peuvent paralyser plus ou moins longuement les activités vitales d'une entreprise. Il est donc important de savoir y faire face rapidement. S'il est toujours préférable de prévoir ce type d'incident en amont, une fois que la foudre s'abat, quelques bonnes pratiques peuvent permettre d'accélérer la résolution du problème. Ce dernier sera bien souvent géré par un opérateur, qu'il est néanmoins possible d'aider.

 

 

1 - Détecter l'attaque

Mettre en place une solution de polling SNMP (certaines sont Open Source, comme Nagios, Shinken ou Zabiix) permet de surveiller le comportement des équipements réseau et donc de détecter les signes d'une attaque par déni de service. Un seuil de tolérance peut être défini pour émettre des alertes lorsque, par exemple, le débit dépasse une certaine limite.

Sur les équipements réseau, il est également possible de mettre en place des collectes de données. Sur du matériel Cisco, il est recommander d'activer le protocole Netflow pour obtenir des informations (adresses IP, ports TCP/UDP) sur le trafic IP routé sur l'équipement. Son équivalent chez Juniper est J-Flow. Le protocole IPFIX est de son côté le standard établi par un groupe de travail de l'IETF.

Mais bien souvent, ce sont les opérateurs les mieux à mêmes de pouvoir surveiller avec précision le trafic réseau. Certaines de leurs offres peuvent être très utiles pour effectuer cette supervision. Chez Orange Business Services, l'expert en sécurité Jean-François Audenard observe "un frémissement de la demande des PME et e-commerçants pour ces offres, bien souvent malheureusement souscrites après un incident".

 

2 - Essayer de remonter le plus possible à la source de l'attaque

Une solution de polling SNMP ne suffira pas pour aider à trouver l'origine de l'attaque, contrairement à des solutions de type Netflow.
 

Une fois l'adresses IP visée connue, la technique dite du 'Black Hole" peut être mise en place

Ensuite cela dépendra du type d'attaque.

Si elle passe par le protocole UDP (attaque de type flood UDP par exemple), l'IP source indiquée ne sera pas fiable. Il sera néanmoins possible, sur la base d'informations publiques mais avec de bonnes connaissances sur les réseaux et plus précisément sur le routage interdomaine (protocole BGP et AS-Path) de comprendre comment l'attaque passe dans le réseau. Souvent, c'est sur ce point qu'il faudra alerter l'opérateur, qui pourra plus facilement remonter le plus loin possible vers la source de l'attaque.
 

S'il s'agit d'une attaque basée sur TCP, en mode connecté, il est possible d'être sûr de l'IP à l'origine de l'attaque. "Et ce type d'attaque n'est pas si rare", confirme Jean-François Audenard d'OBS.

 

3 - Stopper l'attaque en la redirigeant vers un trou noir

Une fois l'adresse, ou les adresses IP visée(s) connue(s), la technique dite "du Black Hole", ou du Trou Noir, peut être mise en place. Comme l'explique Jean-François Audenard, dans son billet "Lutte contre les attaques en DDoS : retour d'expérience", "cette technique consiste à modifier les configurations de routage du réseau d'infrastructure afin que tous les routeurs poubellisent le trafic qui les traverse à destination d'une adresse IP donnée." A noter qu'avec cette technique, si l'IP visée est précisément celle du site Web d'e-commerce, par exemple, alors le site ne répondra plus. Mais certaines capacités utiles seront retrouvées, comme par exemple celle d'envoyer des mails.

audenard jean françois obs securite[1]
Jean-François Audenard, expert en sécurité chez Orange Business Services. © OBS

 

 4 - Filtrer et nettoyer le trafic

Dans son billet sur le blog d'OBS, Jean-François Audenard détaille également une solution mise en place par Orange qui consiste à "filtrer et nettoyer le trafic", et en quelque sorte séparer le bon grain de l'ivraie.

Cette solution nécessite un déroutage du trafic, via une nouvelle règle de routage, en vue de le filtrer et le nettoyer. Ensuite, une solution qu'Orange appelle "Cleaning Center", permet à un expert du groupe de détecter des signatures de l'attaque (par exemple ses "users agents" et leur chaine de caractères) pour mieux l'isoler. Le trafic, pourra alors être "assaini", et être rerouté vers sa destination initiale.

 

Autres conseils pour lutter contre les attaques par déni de service

 Plus simplement et sur place, une configuration du pare-feu peut aussi être utile. Activer l'option SYN Cookies peut permettre de parer certaines attaques.

 Il peut également être utile de limiter les logs du pare-feu, par exemple en configurant l'outil de manière à ce qu'il ne fournisse pas un log à chaque paquet rejeté, mais un pour 100 ou 1000 paquets refusés.

 Fixer une limite du nombre de paquets toléré par seconde ne fonctionnera pas dans le cas d'une attaque saturant la bande passante, mais peut empêcher d'autres dégâts causés par une attaque par déni de service

 Pour les sites Internet, un paramétrage dans le serveur Web peut être nécessaire pour par exemple limiter le nombre de requêtes issues de la même IP (via des modules comme "mod-throttle, mod_bandwidth ou mod_cband" sur Apache par exemple)

 Dernière chose à faire qu'il ne faut pas oublier en cas d'attaque : porter plainte auprès des autorités compétentes

Article écrit avec l'aide de Jean-François Audenard, expert zn sécurité chez Orange Business Services, notamment en charge d'intégrer la sécurité au cœur des offres et services de Cloud Computing.