Interview  

Nicolas Fischbach: "Les attaques DDoS visent de plus en plus l'infrastructure"



 

Nicolas Fischbach
Senior Manager, European IP Security
Colt Telecom / Securite.org



Les attaques DDoS (distributed denial of service), peuvent consommer plusieurs gigabits de bande passante et mobiliser des centaines de machines pour attaquer un serveur. Nicolas Fischbach nous détaille les dernières tendances et les mesures nécessaires pour se protéger de se phénomène.


Propos recueillis par Ludovic Blin le 15/05/2003

Pouvez vous quantifier l’impact des attaques de DDoS (Distributed Denial of Service) sur l’infrastructure ?

Il y a deux types d’attaques, tout d’abord les attaques qui visent à utiliser toute la bande passante, les attaques qui vont contraindre l’utilisateur final à disparaître d’internet. En effet, en général les cœur de réseau sont fait pour supporter ces attaques, y compris la perte d’un lien. Par contre, le routeur d’accès qui connecte un client, lui, ne va pas y survivre. Maintenant, ce phénomène se déplace du coté de l’infrastructure, c’est une tendance de plus en forte, qui consiste, lorsqu’une attaque vise un client en particulier, à mettre hors service les routeurs qui se situent en amont. Ce deuxième type d’attaques à de plus un impact plus large. En terme de bande passante, les attaques DDoS peuvent mobiliser plusieurs centaines d’ordinateurs et plusieurs gigabits de bande passante.

Ces attaques peuvent-ils contraindre un opérateur de télécom à couper une partie de ses liens ?

Non. Mais cela dépend de la manière dont on défini opérateur. Cela peut être possible pour un petit ISP. Mais pour un opérateur international comme Colt Telecom, par exemple, cela n’est pas envisageable, l’impact serait trop conséquent. De plus, nous avons les outils et surtout les procédures pour réagir à ces menaces.

Existe-t-il différents types d’attaques ?

Comme nous l’avons vu, il y a les attaques dirigée directement sur un client et celle qui touchent l’infrastructure. Au niveau technique, on constate de moins en moins d’attaques par amplification, de type smurf. Par contre, pour le protocole ICMP on voit encore des attaques directe ou par reflexion. On peut avoir beaucoup de gros paquets, ou beaucoup de petits paquets. Les types d’attaques dépendent aussi de la cible. Par exemple une attaque Syn Flood aura peu d’effet sur un routeur, mais sera plus efficace sur un système final qui ne dispose pas des syncookies. De nombreux problèmes ont été corrigés au niveau des routeurs qui par exemple ne répondent plus aux ping broadcast.

Certains types de serveurs sont-ils plus ciblés que d’autres ?

Nous étudions depuis quelques années quels sont les clients qui sont le plus susceptibles d’être la cible d’attaque. C’est en général les serveurs IRC, les serveurs de jeux en ligne, ainsi que les serveurs qui hébergent des contenus illégaux. De nombreux clients ont des adresses réservées pour ce type de serveur et arrêtent d’annoncer cette route quand il y a une attaque. Il s’agit donc souvent de problèmes de rivalités entre technophiles.

Quelle est la provenance des ces attaques ?

Il y une histoire qui circule, à la limite de la légende urbaine, selon laquelle certains ISP, dans la zone Asie-Pacifique, disposeraient de leur propre réseau d’agents DDoS et s’en serviraient contre leurs concurrents. Il se servent des ces attaques comme une arme de guerre.
En ce qui concerne les attaques qui viennent des Etats-Unis, elle proviennent principalement des réseaux cablés ou DSL, donc des utilisateurs individuels compromis à l’aide d’un openproxy ou de chevaux de troie. Pour l’Asie, c’est surtout des ISP ou encore des réseaux universitaires qui sont compromis. Pour l’Europe, le pays qui engendre le plus de problèmes est la Roumanie. On peut donc constater qu’il s’agit souvent d’un problème de réglementation.

Quels sont les moyens dont vous disposez pour lutter contre ces attaques ?

En général, lorsque nous constatons une attaque, nous pouvons être conduits à déconnecter le client, ou plutôt rediriger son traffic vers un trou noir, pour un court moment, de manière à pouvoir mener à bien la phase de profiling de l’attaque, visant à déterminer ses caractéristiques. Cela donne aussi le temps d’appeler ses fournisseurs de transit pour pouvoir réagir. Cela exige beaucoup de préparation car il faut avoir les contacts sur place, connaître les équipes sécurité. Nous pouvons ainsi marquer les routes que nous annonçons à nos fournisseurs de transit, ce qui va leur permettre de les filtrer de leur coté. La communication marche bien entre l’europe et l’amérique du nord voire l’amérique latine donc les réactions sont assez rapides. Mais le problème principal est la langue, surtout en Asie ou peu de gens parlent anglais. Nous avons vu la manifestation de ces problèmes de communication lors de l’épisode SQL Slammer ou la zone Asie Pacifique a été coupée pendant des heures.
Pour résumer, les moyens humains et les contacts sont très importants car ils permettent de réagir efficacement en se coordonnant au niveau mondial. Au niveau technique il existe quelques outils comme Arbor, Riverhead ou Mazu par exemple qui sont assez efficaces. Mais, même en utilisant ces outils, une intervention humaine est nécessaire pour valider la détection de l’attaque.

Les client doivent-ils installer des dispositifs anti-DDoS ?

Il faut déjà distinguer les gros sites comme Yahoo ou eBay qui sont complètement autonomes et sont leur propre ISP. Mais pour les sites normaux, l’approche qui consiste à installer des outils de protection chez eux est limitée car les attaques peuvent viser directement l’infrastructure sur laquelle ils n’ont aucun contrôle. Cela dépend du type d’attaque, mais de manière général, plus on est loin de la source, plus il est difficile de réagir efficacement.

.