Afin de compléter les différents bulletins que nous avons pu vous proposer autour des attaques en déni de service distribué (DDoS), les experts sécurité de notre division des Orange Labs (Division Recherche et Développement) nous ont proposé de partager plus largement leur retour d'expérience sur le sujet.
Hormis quelques changements de dates, de localisation géographique et les noms de certaines des parties en présence ; toutes les informations présentées ci-après sont bien réelles.
Je tiens à remercier personnellement Emmanuel BESSON et Pierre ANSEL des Orange Labs pour toutes ces informations : Sans eux, cet article n'aurait pas existé !
Rentrons maintenant dans le vif du sujet, tout commence en Mai 2008.
Hormis quelques changements de dates, de localisation géographique et les noms de certaines des parties en présence ; toutes les informations présentées ci-après sont bien réelles.
Je tiens à remercier personnellement Emmanuel BESSON et Pierre ANSEL des Orange Labs pour toutes ces informations : Sans eux, cet article n'aurait pas existé !
Rentrons maintenant dans le vif du sujet, tout commence en Mai 2008.
Fin Mai 2008
Les équipes opérationnelles d'une filiale d'Orange à l'étranger alertent les équipes sécurité du Groupe : plusieurs attaques en déni de service distribué (DDoS) frappent le site institutionnel d'un client majeur de la filiale, causant une indisponibilité répétée des services hébergés pour les utilisateurs légitimes. Dans le même temps, deux autres attaques ciblent des services d'infrastructure, et notamment le service DNS local.
Une cellule de crise est rapidement mise en place, réunissant les experts sécurité du Groupe afin, dans un premier temps, de rassembler le maximum d'informations sur l'origine, la nature et les cibles des attaques, puis de préparer et enfin mettre en œuvre rapidement les actions permettant de limiter les dégâts causés par la cyber-agression, voire d'éliminer la menace.
Les deux axes retenus sont donc les suivants :
Une semaine plus tard. Grâce aux moyens de détection implantés sur les réseaux internationaux, les trois adresses IP ciblées par les attaques sont identifiées, ainsi que pas moins de 16 routeurs de cœur relayant le trafic impliqué dans ces dernières, et 7 points de peering avec autant de partenaires opérateurs. Ces derniers sont immédiatement contactés et sollicités pour tracer les origines de l'attaque et mettre en œuvre les fonctions de blocage dont ils sont -éventuellement- équipés.
Dans le même temps, les équipes opérationnelles déclenchent un blackholing (Trou-noir) pour l'une des adresses ciblées par l'attaque. Succinctement, cette technique consiste à modifier les configurations de routage du réseau d'infrastructure afin que tous les routeurs poubellisent le trafic qui les traverse à destination d'une adresse IP donnée. Elle vient évidemment à bout de cette première composante de l'attaque.
Toujours dans le même temps, avec l'aide des experts sécurité du Groupe, les équipes locales reconfigurent les pare-feux protégeant leur infrastructure DNS et parviennent à bloquer la seconde composante de l'attaque qui la ciblait.
Toutefois, la dernière composante de la campagne de DDoS ciblant le client final demeure, les deux solutions ci-avant n'étant dans ce cas pas applicables. Les experts d'Orange Labs proposent alors de déployer une solution de nettoyage de trafic ("cleaning center") issues de leurs travaux, et spécifiquement développée pour contrer les attaques DDoS.
Flash-back. La solution proposée offre des capacités de manipulation de trafic afin de purifier ce dernier en temps réel grâce à des fonctions de filtrage intelligent. En effet, la difficulté inhérente aux attaques DDoS réside dans leur apparente légitimité, puisque les requêtes malveillantes utilisent des ports "autorisés", et produisent des paquets a priori "bien formés". En ce sens, les pare-feux et autres Intrusion Prevention Systems (IPS) restent inefficaces face à la majorité des attaques DDoS. Le module des Orange Labs implémente donc de manière optimisée (de façon à fonctionner à plusieurs Gigabits/s) des algorithmes de "tri sélectif" du trafic. Placé en coupure des flux à destination de la victime, il ne réinjecte en sortie que la partie purifiée et donc légitime vers cette dernière. Il devient ainsi possible de protéger plusieurs services critiques simultanément attaqués, la définition d'un service protégé pouvant être très large (ensemble du trafic), mais aussi plus ciblée, voire très spécifique (ex.: requêtes d'un certain type vers une machine donnée). Bien entendu, le module est doté d'une interface permettant d'assurer une surveillance en temps réel et de paramétrer la protection à chaud.
La filiale demande alors à bénéficier de cette technologie afin de protéger ses clients sous attaque.
Début Juin 2008. L'attaque cesse.
Mi-Juillet 2008. La cellule de crise valide le déploiement expérimental du "Cleaning Center" proposé par Orange Labs. Le Cleaning Center est positionné en mode "monitoring" au niveau des points de peering de la filiale et voit donc passer l'intégralité du trafic à destination des clients de l'opérateur local ayant formulé une demande de protection. Les équipes locales ont bénéficié d'une formation pour être en mesure d'activer le mode "protection" en cas d'occurrence d'une nouvelle attaque.
L'attaquant en a-t-il finit ? Non. Nous verrons qu'il reviendra à la charge.
Les équipes opérationnelles d'une filiale d'Orange à l'étranger alertent les équipes sécurité du Groupe : plusieurs attaques en déni de service distribué (DDoS) frappent le site institutionnel d'un client majeur de la filiale, causant une indisponibilité répétée des services hébergés pour les utilisateurs légitimes. Dans le même temps, deux autres attaques ciblent des services d'infrastructure, et notamment le service DNS local.
Une cellule de crise est rapidement mise en place, réunissant les experts sécurité du Groupe afin, dans un premier temps, de rassembler le maximum d'informations sur l'origine, la nature et les cibles des attaques, puis de préparer et enfin mettre en œuvre rapidement les actions permettant de limiter les dégâts causés par la cyber-agression, voire d'éliminer la menace.
Les deux axes retenus sont donc les suivants :
- identification exhaustive de l'attaque : il s'agit de tracer l'attaque pour essayer d'en retrouver les origines, ou du moins les points de peering par lesquels elle entre sur les infrastructures de France Télécom pour se concentrer vers le client ;
- évaluer les moyens permettant de stopper l'attaque, trois solutions étant envisagées :
- bloquer le trafic préalablement identifié au plus près des sources via une collaboration des ISP véhiculant l'attaque (technique de blackholing) ;
- renforcer les défenses locales en re-paramétrant certains pare-feux ou en durcissant les configurations des serveurs attaqués ;
- doter localement la filiale de sondes actives complémentaires pour analyser et bloquer l'attaque.
Une semaine plus tard. Grâce aux moyens de détection implantés sur les réseaux internationaux, les trois adresses IP ciblées par les attaques sont identifiées, ainsi que pas moins de 16 routeurs de cœur relayant le trafic impliqué dans ces dernières, et 7 points de peering avec autant de partenaires opérateurs. Ces derniers sont immédiatement contactés et sollicités pour tracer les origines de l'attaque et mettre en œuvre les fonctions de blocage dont ils sont -éventuellement- équipés.
Dans le même temps, les équipes opérationnelles déclenchent un blackholing (Trou-noir) pour l'une des adresses ciblées par l'attaque. Succinctement, cette technique consiste à modifier les configurations de routage du réseau d'infrastructure afin que tous les routeurs poubellisent le trafic qui les traverse à destination d'une adresse IP donnée. Elle vient évidemment à bout de cette première composante de l'attaque.
Toujours dans le même temps, avec l'aide des experts sécurité du Groupe, les équipes locales reconfigurent les pare-feux protégeant leur infrastructure DNS et parviennent à bloquer la seconde composante de l'attaque qui la ciblait.
Toutefois, la dernière composante de la campagne de DDoS ciblant le client final demeure, les deux solutions ci-avant n'étant dans ce cas pas applicables. Les experts d'Orange Labs proposent alors de déployer une solution de nettoyage de trafic ("cleaning center") issues de leurs travaux, et spécifiquement développée pour contrer les attaques DDoS.
Flash-back. La solution proposée offre des capacités de manipulation de trafic afin de purifier ce dernier en temps réel grâce à des fonctions de filtrage intelligent. En effet, la difficulté inhérente aux attaques DDoS réside dans leur apparente légitimité, puisque les requêtes malveillantes utilisent des ports "autorisés", et produisent des paquets a priori "bien formés". En ce sens, les pare-feux et autres Intrusion Prevention Systems (IPS) restent inefficaces face à la majorité des attaques DDoS. Le module des Orange Labs implémente donc de manière optimisée (de façon à fonctionner à plusieurs Gigabits/s) des algorithmes de "tri sélectif" du trafic. Placé en coupure des flux à destination de la victime, il ne réinjecte en sortie que la partie purifiée et donc légitime vers cette dernière. Il devient ainsi possible de protéger plusieurs services critiques simultanément attaqués, la définition d'un service protégé pouvant être très large (ensemble du trafic), mais aussi plus ciblée, voire très spécifique (ex.: requêtes d'un certain type vers une machine donnée). Bien entendu, le module est doté d'une interface permettant d'assurer une surveillance en temps réel et de paramétrer la protection à chaud.
La filiale demande alors à bénéficier de cette technologie afin de protéger ses clients sous attaque.
Début Juin 2008. L'attaque cesse.
Mi-Juillet 2008. La cellule de crise valide le déploiement expérimental du "Cleaning Center" proposé par Orange Labs. Le Cleaning Center est positionné en mode "monitoring" au niveau des points de peering de la filiale et voit donc passer l'intégralité du trafic à destination des clients de l'opérateur local ayant formulé une demande de protection. Les équipes locales ont bénéficié d'une formation pour être en mesure d'activer le mode "protection" en cas d'occurrence d'une nouvelle attaque.
L'attaquant en a-t-il finit ? Non. Nous verrons qu'il reviendra à la charge.
Bonjour!
Vos commentaire sur ce site mon beaucoup appris et aidé dans le cadre de mon projet d'étude pour le baccalauréat 2011.
Passionné d'informatique, spécialement dans "la sécurité informatique" Dans le cadre de mon projet correspondant bien à vos explication dans ce site, j'aimerai présenter cela devant mon professeur en m'inspirant de vos commentaire. Pour cela je vous demande, si vous le voulez bien un accord de votre part concernant le copiage de quelque phrases.
Cordialement Steeve.
Bonjour Steeve.
L'ensemble du contenu du blog sécurité d'Orange Business Services est publié sous une licence qui permet et encourage sa réutilisation. Quelques règles de bases s'appliquent cependant (besoin de citer la source, commercialisation interdite, etc...).
Les principes de la licence sont décrits à cette URL.
Pour un projet d'école, aucun problème donc.
Bonjour!
Dans le cadre de mon projet, j'aimerai vous faire une petite interview precis concernant votre chapitre "Purquoi devez vous protéger votre entreprise en sécurisant votre accès Internet ? Pourquoi devez vous protéger votre entreprise en sécurisant votre accès Internet ? "
Cordialement.