Déni de Service à 80 Gb/s, 15 millions de sessions TCP concurrentes générées au rythme de 1,5 million seconde

Par Xavier Poli, secuobs.com
Le 15/01/2009

---

Résumé : Breaking Point System propose des équipements d'audit réseau permettant de simuler des réseaux de type Botnet, avec une capacité maximale de 80 Gigabits seconde pour un total de 15 millions de sessions TCP concurrentes générées au rythme de 1,5 million de requêtes à la seconde. - Lire l'article



Fondée notamment par d’anciens collaborateurs de Spirent Communication, Breaking Point System est une société spécialisée dans les solutions d’audit à destination des concepteurs d’équipements réseaux et de solutions de sécurité pour les infrastructures dès lors que ces systèmes revêtent un caractère sensible et qu’ils requièrent de par là-même une haute disponibilité au niveau des services qu'ils proposent à leurs utilisateurs.

Les solutions d'audit en question permettent de générer automatiquement et de façon méthodique un trafic réseau IPv4 ou IPv6 de forte intensité à l’encontre des systèmes de cette nature et cela dans le but de tester leur capacité de résistance dans des conditions extrêmes de charge réseau. Une capacité qui permettra ensuite d’évaluer le point limite d’interruption de service du système audité afin d’être en mesure de le faire évoluer et de de l’améliorer avant sa version finale.

Les solutions Breaking Point System s’avèrent donc capables d’offrir des environnements de test en adéquation avec les risques inhérents aux conditions réelles d’activité. Des risques auxquels un équipement, voir une application ou un site Web, pourrait se retrouver confronté après sa mise en production. Il est par exemple envisageable de simuler les activités malveillantes de Déni de Service ( DoS - lien ) caractérisant un réseau de type Botnet ( lien ) pour effectuer une évaluation préalable de cette capacité de résistance.

La forte charge de trafic réseau ainsi générée peut également être momentanément « interrompue » par ces solutions pour injecter un trafic d’une toute autre nature puisque spécifique à des attaques basées sur des codes réputés malicieux. L’injection de ces codes consistant en des tentatives d’exploitation de failles de sécurité connues publiquement, il est alors possible de tester à la fois les performances de la cible auditée quant à ses capacités de traitement de cette charge surdimensionnée, et ses facultés à fournir simultanément une protection « toujours » aussi efficace en matière de détection d’intrusions éventuelles.

Une interface de programmation, accessible par l’intermédiaire de scripts TCL ( lien ), peut également être utilisée afin de contrôler la plateforme d’automatisation qui offre des possibilités de personnalisation pour les tests qui seront lancés lors de l’audit ; quant à l’interface graphique principale en Flash, elle fournit entre autres des statistiques en temps réel. Breaking Point System offrent à l’heure actuelle une gamme de trois produits distincts, soit l’offre premium Elite Box et le boitier BPS, plus « limité », dans ses versions 1K et 10K.

L’Elite Box supporte deux cartes d’interfaçage réseau, ces cartes pouvant regrouper soit un ensemble XFP ( lien ) de quatre ports d’une capacité de dix gigabits, soit un groupement SFP ( lien ) de huit ports d’une capacité d’un gigabit chacun. On se retrouve alors avec des capacités de vingt gigabits seconde pour les couches quatre à sept (transport, session, présentation, application) du modèle OSI ( lien ) et quatre-vingts gigabits seconde pour les couches deux (liaison de données) et trois (réseau).

Par ailleurs, quinze millions de sessions TCP concurrentes sont au total supportées par cette première alternative avec un rythme soutenu de génération équivalent à un million cinq cent mille sessions à la seconde lors de la réalisation d’un audit. A noter que plusieurs Elite Box peuvent être couplées entre elles, et gérées comme une seule et unique, de façon à atteindre cumulativement un trafic agrégé de deux cents gigabits par seconde pour les couches OSI quatre à sept et huit cents gigabits pour les couches deux et trois.

La version 10K du boitier BPS inclut quant à elle quatre ports Ethernet fibre pour une capacité de dix gigabits soit sept cent cinquante mille requêtes TCP seconde pour un total cumulé de sept millions cinq cent mille sessions simultanées quand la version 1K ne propose elle « que » quatre ports Ethernet fibre/cuivre pour quatre gigabits seconde, soit cinq cent mille requêtes seconde et cinq millions de sessions établies en simultané. Ces équipements sont aptes à générer nativement du trafic pour soixante-dix protocoles à destination de l’ensemble des couches OSI.

On retrouve notamment des protocoles comme HTTP et le HTTPS ( voir notre dossier - lien ), POP3 et SMTP, les protocoles de la messagerie instantanée ainsi que DNS ( voir notre dosssier - lien ), SIP pour la VOIP ( lien ), LDAP ( voir notre dossier - lien ), RADIUS ( voir notre dossier - lien ) et CIFS/SMB ( lien ) ; BitTorrent et sa version chiffrée ( lien ) sont supportés comme d'autres (MAPI, SNMP, eDonkey, Oracle, IBM DB2, etc).

Trois mille sept cents attaques différentes sont également disponibles, ce sont ces attaques qui sont injectées pour tester les capacités de détection des équipements audités. Elles ont été développées afin d'utiliser les techniques d’évasion ( lien ) comme la fragmentation des paquets, la segmentation des flux et l’obfuscation des URL. Elles peuvent permettre de mener des audits avancées sur des équipements offrant des couches additionnelles de sécurité via des solutions de filtrage ou des systèmes I[D|P]S ( voir notre dossier - lien ).

D’après Breaking Point System, de nouvelles attaques sont ajoutées régulièrement à la base déjà existante grâce à de fréquentes mises à jour. Pour les utilisateurs chevronnés, il est aussi envisageable d’utiliser les outils dédiés, mis à disposition, pour développer des tests spécifiques à l’audit de protocoles non standards. Les autres utilisateurs privilégieront le service AppExpress ( lien prévu à cet effet et pour lequel Breaking Point System garantit une forte réactivité pour les délais de livraison.

Dernières fonctionnalités majeures de ces solutions d'audit, les capacités de fuzzing ( lien ) de protocoles mais aussi la possibilité de capturer du trafic réseau en temps réel dans la perspective de le rejouer ultérieurement. Du point de vue des exportations pour les résultats des audits et les diagrammes associés, ces opérations sont réalisables vers différents formats standards de sortie que sont les formats PDF, RTF, XLS, CSV et HTML.

Plus d’informations sur le site de Breaking Point System ( lien ) avec des vidéos de démonstration ( lien ), mais également sur le blog ( lien ) avec une publication récente ( lien ) traitant des techniques d’automatisation d’ingénierie inverse ( voir notre dossier - lien ) des protocoles. A noter que HD Moore, responsable du projet Metasploit ( voir notre dossier - lien ), collabore au sein de cette société.

Source : eSecurity Planet ( lien )