Le déni de service existe depuis des années. Cependant, cette attaque retrouve un nouveau souffle avec son évolution, le DDoS (Distributed Denial of Service). Plus difficile à contrer, cette attaque cause également beaucoup plus de dégâts.
1. êtes-vous sûr
d’avoir la bonne
défense?
DDOS, LA NOUVELLE ARME DES HACKERS.
Gregory Chanez
Senior Security Engineer
Raphaël Jakielaszek
Security Engineer
tel. +41 22 727 05 55
gregory.chanez@e-xpertsolutions.com
www.e-xpertsolutions.com
tel. +41 22 727 05 55
raphael.jakielaszek@e-xpertsolutions.com
www.e-xpertsolutions.com
2. DDOS ?
•
DDoS : Distributed Denial of Service
•
But : couper un service, une application, …
•
Attaque très répandue chez les cybercriminels
•
Facile à mettre en place
(logiciels disponibles sur internet)
3. STATISTIQUES
Evolution des attaques DDoS
60
50
40
30
DDoS Attack
20
10
Tendance des attaques en 2012
août.13
juil..13
juin.13
mai.13
avr..13
mars.13
févr..13
janv..13
déc..12
nov..12
oct..12
sept..12
août.12
juil..12
juin.12
mai.12
avr..12
mars.12
févr..12
janv..12
0
SQL Injection
-
APTs
214 000 $ de perte en moyenne
Botnet
DDoS
Source : Paolo Passeri, Senior Security
Engineer@LastLine
4. CIBLES & RAISONS
Cibles :
Banque (PostFinance, ING …)
Gouvernement (USA, Israël,…)
Site de service (Paypal, Microsoft, ...)
Raisons :
Politique (Anonymous, SEA, …)
Cybercriminalité
5. EXEMPLE
Anonymous : Opération Payback
-
Wikileaks
-
Cibles :
-
-
-
PostFinance : site Web et e-finance inaccessible
pendant 24h
Paypal : blog inaccessible pendant 8h avec 75
interruptions de service
Visa
Mastercard
Site web de Wikileaks attaqué aussi par une attaque DDoS
6. TYPES D’ATTAQUES
Il existe des attaques DDoS à différents niveaux :
Attaque réseaux
SYN floods, connection floods
UDP & ICMP floods
Attaque DNS
UDP floods
NXDOMAIN query floods
Flooding HTTP
Recursive-gets, Slowloris
SSL attacks, SSL renegotiation
8. ATTAQUES RÉSEAUX
Attaques contre les couches 3 et 4
Attaques les plus basiques, simple à réaliser
Attack
SYN flood
Target Vector
Description
Fake TCP connection setup overflows tables in stateful
Stateful flow tables
devices
Connection flood Stateful flow tables
Real, but empty, connection setup overflows tables in
stateful devices
UDP flood
CPU, bandwidth
Floods server with UDP packets, can consume bandwidth
and CPU, can also target DNS servers and VoIP servers
Ping flood
CPU
Floods of these control messages can overwhelm stateful
devices
ICMP fragments
CPU, memory
Hosts allocate memory to hold fragments for reassembly
and then run out of memory
TCP flood
CPU
SYN-ACK, ACK or ACK/PUSH without first SYN cause host
CPUs to spin, checking the flow tables for connections that
aren't there
9. ATTAQUES RÉSEAUX (2)
Pour se prémunir :
-
Bloquer les ouvertures de connexion TCP & UDP trop importantes
-
Rediriger les hackers vers une voie sans issue
10. ATTAQUES HTTP
Type d’attaque :
Exploiter les faiblesses des protocoles et des implémentations
(HTTP, Apache, TLS…)
Les systèmes deviennent indisponible suite à une saturation
mémoire ou CPU
Attack
Target Vector
Description
Slowloris
Connection Table
Slowly feeds HTTP headers to keep connections open
R.U.D.Y (Slow POST)
Connection table
Slowly POSTs data to keep connections open
HashDos
CPU
Overwhelms hash tables in back-end platforms
SSL renegotiation
CPU
Exploits asymmetry of cryptographic operations
11. ATTAQUES HTTP (2)
Low and slow attack :
•
•
Difficile à repérer car apparenté à du trafic légitime
Une solution efficace nécessite une forte intégration avec les serveurs
applicatifs
12. ATTAQUES HTTP (3) - DIFFÉRENTS MOYENS DE SE PROTÉGER
•
•
•
HTTP Challenge Response :
302 Redirect Challenge
Java Script Challenge
Rate Limit :
GET et POST limit
HTTP Bandwidth
Request-per-Source
Request-per-Connection
Request rate
Server latency :
Temps moyen pour obtenir une réponse
Requêtes HTTP/s
13. ATTAQUES DNS
•
•
A cause de la simplicité du protocole DNS (basé sur UDP), les
attaques DNS ont 2 caractéristiques :
Faciles à exécuter
Difficiles à bloquer
Types d’attaques DNS :
UDP floods
Legitimate queries (NSQUERY)
Legitimate queries against non-existent hosts (NXDOMAIN)
14. ATTAQUES DNS (2) - DIFFÉRENTS MOYENS DE SE PROTÉGER
DNS Query Challenge
Query Rate Limit
Détection des requêtes malformées
15. POURQUOI UN FIREWALL EST INEFFICACE ?
Trafic légitime
Utilisation des ports ouverts (Port 80)
Utilisation de services connus (HTTP & DNS)
Quelques paquets envoyés par l’attaquant
Bande passante
en baisse
– Résulte en plusieurs paquets réponses de la
cible
Attaquant : Get HTTP/1.0 (exemple)
– Target: Sends megabytes of data
16. POURQUOI UN FIREWALL EST INEFFICACE ? (2)
Exploit TCP/IP
Protocol
Les attaquants se
cachent
Flag to fragment packets
Set maximum packet size to 100 bytes
Send keep-alive to hold connection open
Utilisation de TOR, de proxies et de Botnet