Une attaque DoS (Denial of Service) a pour but de rendre indisponible un service et d’empêcher les utilisateurs légitimes de l’utiliser. La majorité de ces attaques se font à partir de plusieurs sources, on parle alors d’attaque DDoS (Distributed Denial of Service).
Attaques DDOS
Principes
Les attaques qui fonctionnent le mieux sont celles par réflexion, elles consistent à envoyer une requête à un serveur en falsifiant l’adresse IP et en la remplaçant par l’IP de la cible. Le serveur qui reçoit la requête va alors s’adresser en réponse à la cible.
L’attaquant devra trouver des serveurs qui vont générer énormément de données en réponse (affichage d’images, de vidéos par exemple) par rapport à une simple requête initiale légère.
C’est plutôt rare pour un site web de pouvoir résister à une attaque DDOS massive et il est assez difficile de s’en protéger au niveau de la différence entre trafic légitime et trafic malveillant.
Outils pour y palier
Il n’est pas possible de lutter contre les attaques par volumétrie puisque l’attaque cible la bande passante de votre accès Internet. Il est cependant possible de limiter un peu les dégâts avec plusieurs outils.
Fail2Ban : analyse les logs d’un serveur en temps réel et repère le trafic suspect qu’il bloquera à l’aide du pare-feu.
DDoS Deflate : regroupe à peu près les mêmes fonctions que Fail2Ban.
Tarpitting : un tarpit est un service qui retarde délibérément les connexions entrantes, rendant le serveur moins intéressant pour le hacker.
Mod_evasive : plug-in Apache qui inspecte les requêtes à destination d’un serveur web, utilisable pour les protocoles HTTP et HTTPS.
Module anti-DDoS : module pour NGINX anti-DDoS très efficace et intégré (souvant utilisé en tant que reverse proxy pour sa fonction anti-DDoS, le trafic est ensuite renvoyé vers un autre serveur web Apache.
HA Proxy : répartiteur de charge open source pour Linux, il de plus très bien documenté.
Protection DDOS
Faut-il héberger ses serveurs au sein de la société ou chez un hébergeur ?
Les hébergeurs proposent généralement des solutions anti-DDOS très efficaces pour leurs clients puisqu’ils doivent eux-même lutter contre les DDoS à leur encontre, une protection de base est déjà présente et relativement très efficace. Ils sont également en étroite relation avec leurs opérateurs “de transit” et en cas d’attaque par volumétrie le transitaire est capable en amont d’éliminer le trafic identifié comme du DDoS : le trafic ne sera pas acheminé chez l’hébergeur et ne saturera pas ces liens internet (Black holing). Il est à noter que n’importe qui peu demander ce service à son opérateur.
Infrastructures typiques
Les paquets entrants sont analysés par un premier équipement généralement redondé ou en mode répartiteur de charge qui réceptionnera l’ensemble du trafic. Selon le type de trafic, le débit utilisé ou le nombre de requêtes par seconde, l’équipement décidera d’un routage spécifique pour l’acheminement jusqu’au serveur. S’il le trafic ne dépasse pas certains seuils paramétrés sur l’équipement, les paquets seront acheminés vers les routeurs de l’infrastructure sans appliquer de filtrage particulier en ce qui concerne l’anti-DDoS.
S’il s’agit d’une attaque DDoS un autre chemin sera alors utilisé. Après analyse les paquets iront transiter via une série d’équipements qui les traiteront au niveau du protocole (ports utilisés, TCP/UDP, taux de fragmentation, taille du traitement IP), les flux restants seront ensuite envoyés à un autre équipement qui fera une analyse applicative et donc plus détaillée (inspection précise des paquets jusqu’au niveau 7). Le trafic sera ensuite acheminé vers un dernier firewall plus classique et sera acheminé au serveur final.
Infrastructures Cloud
Les solutions anti-DDOS dépendent de sociétés spécialisées CDN (Content Delivery Network) qui utilisent de multiples serveurs hébergeant une copie du site web initial et hébergent ces serveurs dans différents datas-centers répartis dans le monde. Un CDN consiste à rediriger les utilisateurs vers les serveurs les plus proches de leur localisation, par exemple un utilisateur en provenance d’Asie sera redirigé vers le serveur de cache asiatique le plus proche. Les prestataires CDN proposent également un service anti-DDoS puisqu’ils centralisent l’ensemble des communications, les redirigent et les traitent.
Du point de vue de l’extérieur, le serveur web est donc comme étant hébergé chez le prestataire anti-DDoS alors que vos serveurs réels restent inconnus du reste de l’internet.
Cloudflare et Akama sont les deux principaux fournisseurs de CDN et il est utile de préciser qu’il est cependant toujours possible de retrouver la réelle adresse IP du serveur où se trouve le site Internet.
Sur le schéma ci-dessous un utilisateur veut joindre le site web linkedin.co protégé par un CDN basée sur une redirection DNS.
- L’utilisateur interroge un serveur DNS et demande quel est l’adresse IP qui correspond au serveur web www.linkedin.com
- Le serveur va lui répondre l’adresse IP : 1.2.3.4 qui appartient au fournisseur de CDN
- La machine de l’utilisateur envoie son trafic à destination du CDN et non pas directement du serveur web.
- Le CDN traite le trafic, pourra détecter du trafic DDoS et le bloquera sinon il fera suivre la requête au serveur web en jouant son rôle de proxy.
- Le serveur web répond alors à la requête qui retransite via le CDN pour répondre à l’utilisateur.
Ce mécanisme est efficace à condition que l’IP réelle du serveur web ne soit jamais connue des hackers.
Il est également possible de ne pas passer par ce système de DNS mais d’indiquer directement à l’opérateur de transit que les paquets à destination des serveurs doivent être routés via le CDN qui va traiter le flux. Dans ce cas-là, le CDN mettra en place un tunnel. Ce système est plus cher et nécessite beaucoup plus de prérequis techniques, par contre.
L’infrastructe d’OVH
OVH détaille son infrastructure de manière assez avancée avec de nombreux détails techniques sur la gestion anti-DDoS : https://www.ovh.com/fr/anti-ddos/
Documentation
Formation “La sécurité informatique et cybersécurité” par Pierre Cabantous : https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service