Attaques en Déni de service Introduction et principes de protection Orange Business Services - Blog Sécurité Juillet 2008 AUDENARD Jean-François Direction du développement des services de sécurité

Plateformes Web http://www.e-commerce.com Votre site Internet est pleinement opérationnel Vos clients passent leurs commandes Fonctionnement Normal Fonctionnement normal ou habituel : Les internautes, qu’ils viennent de l’international (en haut) ou depuis le périmètre national (à droite) accèdent facilement et rapidement à votre site de e-commerce. Vos clients sélectionnent les biens et les services et procèdent à leur paiement.

Le Botnet : L’arme de l’attaquant Réseau de drones (« Botnet ») Centre de commande (« Botherder ») Ordres Accès au Botnet Attaquant Ordre d’attaque Attaques en DDoS

Le Botnet : L’arme de l’attaquant Un réseau de machines infectées à leur insu est sous le contrôle du Botherder. Ces machines sont typiquement des ordinateurs personnels de Mr/Mme « tout le monde » qui ont été préalablement infectés à l’insu de leurs propriétaires. Ces machines (aussi appelées zombies, bots ou drones) sont répartis dans le monde entier. Un réseau de bots, aussi appelé Botnet peut être constitué de plusieurs dizaines de machines, voir beaucoup plus dans certains cas. Le Botherder loue, pour quelques heures ou quelques jours, l’utilisation de son botnet à l’attaquant. L’attaquant peut ainsi envoyer simultanément des ordres à l’ensemble des machines du botnet afin de submerger un site par un flot très important de requêtes qu’il ne sera pas en mesure de traiter : C’est l’attaque en déni de service Distribué (DDoS)

Un réseau de machines infectées à leur insu est sous le contrôle du Botherder. Ces machines sont typiquement des ordinateurs personnels de Mr/Mme « tout le monde » qui ont été préalablement infectés à l’insu de leurs propriétaires. Ces machines (aussi appelées zombies, bots ou drones) sont répartis dans le monde entier. Un réseau de bots, aussi appelé Botnet peut être constitué de plusieurs dizaines de machines, voir beaucoup plus dans certains cas.

Le Botherder loue, pour quelques heures ou quelques jours, l’utilisation de son botnet à l’attaquant.

L’attaquant peut ainsi envoyer simultanément des ordres à l’ensemble des machines du botnet afin de submerger un site par un flot très important de requêtes qu’il ne sera pas en mesure de traiter : C’est l’attaque en déni de service Distribué (DDoS)

Plateformes Web http://www.e-commerce.com Attaquant Attaque de DDoS : Le site est bloqué

Attaque de DDoS : Le site est bloqué L’attaquant, via le réseau de zombies, lance une attaque vers le site Internet. L’ensemble de la bande passante est consommée de façon inutile. Les accès légitimes sont impossibles, tant pour les clients à l’international que ceux arrivant depuis le périmètre national. L’attaque en déni de service est efficace : Plus aucune commande ni accès au site de e-commerce n’est possible.

L’attaquant, via le réseau de zombies, lance une attaque vers le site Internet. L’ensemble de la bande passante est consommée de façon inutile.

Les accès légitimes sont impossibles, tant pour les clients à l’international que ceux arrivant depuis le périmètre national.

L’attaque en déni de service est efficace : Plus aucune commande ni accès au site de e-commerce n’est possible.

Plateformes Web http://www.e-commerce.com Attaquant Mitigation de l’attaque via « trou-noir »

Mitigation de l’attaque via « trou-noir » L’opérateur réseau active un mécanisme de « trou-noir » (blackhole en anglais) au niveau de certains routeurs du réseau d’interconnexion à l’international. L’attaque est contrée : Elle est stoppée en amont du réseau de l’opérateur, vos clients arrivant depuis les réseaux nationaux ont de nouveau la possibilité de passer des commandes. Par contre, vos clients à l’international sont toujours dans l’impossibilité d’accéder à votre site. La situation s’est améliorée mais pas complètement. L’attaque en DDoS a partiellement échouée.

L’opérateur réseau active un mécanisme de « trou-noir » (blackhole en anglais) au niveau de certains routeurs du réseau d’interconnexion à l’international.

L’attaque est contrée : Elle est stoppée en amont du réseau de l’opérateur, vos clients arrivant depuis les réseaux nationaux ont de nouveau la possibilité de passer des commandes.

Par contre, vos clients à l’international sont toujours dans l’impossibilité d’accéder à votre site. La situation s’est améliorée mais pas complètement.

L’attaque en DDoS a partiellement échouée.

Plateformes Web http://www.e-commerce.com Attaquant Mitigation de l’attaque via « centre de nettoyage »

Mitigation de l’attaque via « centre de nettoyage » L’activation d’un mécanisme de « nettoyage » des attaques au sein du réseau de l’opérateur permet de filtrer sélectivement les flux : Seuls les flux d’attaques sont détruits , l’accès à votre site est de nouveau possible pour l’ensemble de vos clients, que ce soit depuis l’international que du national. L’attaque en DDoS a donc totalement échouée.

L’activation d’un mécanisme de « nettoyage » des attaques au sein du réseau de l’opérateur permet de filtrer sélectivement les flux : Seuls les flux d’attaques sont détruits , l’accès à votre site est de nouveau possible pour l’ensemble de vos clients, que ce soit depuis l’international que du national.

L’attaque en DDoS a donc totalement échouée.