Risques Liés au DDOS - NYSTEK · • Différents outils Anti-DDoS ... certain nombre de bonnes...

RISQUES LIES AU DDoS

Sécurité des systèmes d’information2016

Copyright NYSTEK - 2016

• Qu’est ce qu’une attaque DDoS

• Risques d’une attaque DDoS

• Comment se protéger contre les attaques DDoS

• 3 phases de gestion d’une crise DDoS

• Différents outils Anti-DDoS

• Accompagnement NYSTEK

• ANNEXE - Description technique des différents types d’attaque DDoS

Sommaire

Sommaire


Qu’est-ce qu’une attaque DDoS (1/2)


Une attaque DDoS vise à rendre un serveur, un service ou une infrastructure indisponibles en surchargeant la bande passante du serveur, ou en accaparant ses ressources jusqu'à épuisement.

Lors d'une attaque DDoS, une multitude de requêtes sont envoyées simultanément, depuis de multiples points du Net. L'intensité de ce "tir croisé" rend le service instable, ou pire, indisponible.

On parle de « déni de service distribué » (Distributed Denial of Service ou DDoS) lorsque l’attaque fait intervenir un réseau de machines compromises (Botnets) afin d’interrompre le/les services visés.




Le nombre d’attaques par déni de service distribué a augmenté au cours des dernières années. Ces attaques sont aujourd’hui fréquentes,. A titre d’exemple, des opérateurs français ont constaté jusqu’à plus d’un millier d’attaques par jour en 2014.

De ce fait, les attaques se diversifient, elles deviennent « plus intelligentes » et plus complexes à éviter, elles durent aussi plus longtemps, elles étaient de l’ordre de 30 minutes il y a 4 ans et sont maintenant proche des 24h.

On distingue alors deux grandes familles :

Les attaques volumétriques : elles visent à submerger des équipements ou liaisons stratégiques afin de les rendre indisponibles. La nouveauté est qu’elles s’opèrent tant sur la couche réseau (TCP SYN flood...) qu’applicative (par exemple HTTP GET floods...) pour épuiser les ressources des serveurs exposés sur internet.

Les attaques «par saturation de tables d’état» : plus astucieuses, ces attaques ne

requièrent pas nécessairement un grand nombre de ressources attaquantes. Leur principe est d’utiliser les limites des protocoles de communication pour commettre des méfaits. Elles visent également les couches réseau Slow attacks...) et applicative (Slowloris...). Elles s’avèrent très efficaces et malheureusement difficiles à contrer au vu de leur comportement a priori inoffensif.


Risques d’une attaque DDoS (1/2)

Risques d’une attaque DDoS (1/2)

A la fois visibles et immédiates, les conséquences directes d’une attaque DDoS recouvrent par exemple l’indisponibilité de services cruciaux (Site e-commerce, les Data Center, les institutions financières, les gouvernement...) entraînant une perte financière évidente, le dysfonctionnement des processus métiers mais aussi l’atteinte à l’image due à la médiatisation de l’événement

Quand les attaques DDoS servent à leurrer les équipes IT et deviennent un écran de fumée pour la fraude et le vol

Moins immédiates, les conséquences indirectes n’en sont pas moins importantes :

Une attaque DDoS peut également être un moyen de diversion permettant d’établir une attaque ciblée plus évoluée. En effet, en jouant un rôle de « bélier » visant la mise à mal des moyens de protection du SI, une intrusion deviendra plus facile...

Pendant que vous vous escrimez à neutraliser l’attaque DDoS et à remettre en ligne les applications critiques, des cybercriminels pourraient être en train d’opérer en coulisses dans vos systèmes afin de perpétrer des actions encore plus malveillantes (vol, perte d’intégrité voir destruction des données).


Risques d’une attaque DDoS (2/2)Les chiffres

Risques d’une attaque DDoS (2/2)Les chiffres

Selon une étude de Kaspersky en fin d’année 2015, il ressort que près de la moitié (48 %) des victimes d’une attaque DDoS déclarent connaître les motivations, voire les identités, de leurs assaillants ou commanditaires.

Sur cet ensemble, 12% des entreprises pensent que les attaques viennent de concurrents directs (1 attaque sur 10) qui recourent éventuellement aux services d’organisations « spécialisées » dans ce genre d’opérations, (38%) dans les industries de services.

74% des attaques DDoS ayant entraîné une interruption de service notable ont été accompagnées d’autres incidents, comme l’exécution d’un malware (dans 45 % des cas) ou une intrusion dans le réseau de l’entreprise cible (32 %).

Résultat des courses : 26 % des entreprises victimes d’attaques DDoS ont déclaré une perte de données sensibles.

De plus, un véritable business lié aux attaques DDoS s’est développé, ainsi, louer un parc de 100.000 botnets pendant 24 H coûte environ 200 $, permettant de mobiliser l’équivalent du trafic de Ebay.fr sur une base de 100 visites/jour.botnet (très bas)


Risques d’une attaque DDoSRisques d’une attaque DDoS

Quels que soient leurs initiateurs, ces attaques ont un coût. Toujours selon l’étude de Kaspersky, une entreprise de 1500 salariés et plus dépense en moyenne 417 000 dollars pour se remettre d’une attaque par déni de service (coûts directs et indirects inclus).

Une PME, qui ne dispose pas toujours des moyens pour se prémunir, débourse 53 000 dollars en moyenne.

De plus 17% des victimes déclarent que les DDoS s’accompagnent de demandes de rançons, mais la majorité des attaques serait menée par des criminels qui chercheraient simplement à interrompre l’activité de l’entreprise.

En générale, les risques d’une attaque DDoS pour les sociétés sont les suivants :

Dysfonctionnement de services en ligne pouvant aller à l’indisponibilité ; Pertes financières ;

Image dégradée.

Suivant la notoriété ou l'e-réputation de la société et son domaine d'activité, la probabilité est plus ou moins grande qu'elle soit victime d'une attaque DDoS.


Comment se protéger contre les attaques DDoS (1/3)


La solution est de mettre en place une protection par le biais d’équipements de sécurité, pouvant s’opérer à deux niveaux en amont du SI (au niveau des réseaux de l’opérateur) et directement en frontal (sur le site à protéger).

Plusieurs stratégies sont alors possibles :

Une protection exclusivement manuelle : il s’agit de la mise en place de filtrages spécifiques par l’opérateur et de la configuration d’équipements de sécurité du SI. Cette stratégie à faible coût, pouvant être qualifiée de « protection par défaut », est aujourd’hui la plus communément utilisée.

Un « boîtier anti-DDoS » en frontal : proche du SI, ce boîtier sert de « bouclier » et permet une protection immédiate, avec réinjection du trafic légitime. Il nécessite en revanche une expertise interne conséquente, et peut ainsi entraîner d’importants coûts d’investissement et récurrents. De plus, sans protection en amont du SI, le niveau de protection offert par le boîtier face aux attaques volumétriques est limité à la taille du lien réseau qui le précède. Utilisé seul, un tel boîtier montre rapidement ses limites.




Une protection Cloud, en amont : située dans le Cloud ou le réseau opérateur, cette protection permet de bénéficier d’un service et d’une expertise externalisés. Grâce à ses mécanismes de redirection ponctuelle ou permanente, de nettoyage du trafic et de réinjection, elle permet la gestion d’attaques à forte volumétrie. Cette solution peut entraîner des coûts élevés en cas de multiplications des attaques, selon les modèles de facturation. En outre, elle ne permet pas de se protéger des différents types d’attaques, en particulier celles visant les applications.

Une stratégie hybride : il s’agit ici d’allier deux des trois premières stratégies : une protection distante dite « Cloud » et un boîtier physique, en frontal du SI. Malgré un coût logiquement plus élevé, les avantages viennent s’additionner et permettent de faire face à l’évolution de la menace. Les attaques à la fois volumétriques et par saturation de table d’état, aux niveaux réseau ou applicatif peuvent ici être maîtrisées et la continuité du service est assurée.

Faites attention aux filtrages des WAF ou des FAI Souvent de niveau 1-3/4 Rare jusqu’au niveau 7 (coût / performance...)

Certains FAI mutualisent leurs équipements avec tous leurs clients, du coup, ils limitent vos champs d’actions car cela peut impacter leurs autres clients.




Des réponses également organisationnelles

Au-delà d’un choix stratégique de protection technique, il est important de développer un certain nombre de bonnes pratiques permettant une gestion de crise optimale en cas d’attaque.Ces mesures organisationnelles peuvent être séquencées chronologiquement, selon le stade de l’attaque auquel elles se rattachent.

De manière préventive, une analyse de la criticité des services ciblés, de la menace et des besoins globaux en matière de sécurité permettront de s’orienter vers l’un des quatre choix techniques précédents. Cela permettra également de bâtir les futurs processus de gestion, en particulier en cas de crise.

Dès lors qu’une attaque est déclarée, il est primordial de pouvoir efficacement identifier son comportement, déterminer son ampleur et repérer les premiers services impactés. Les processus de gestion de crise initialement déterminés permettront également d’encadrer et d’atténuer les effets de bord.

Enfin, une fois l’attaque maîtrisée, les services rétablis et leur bon fonctionnement testé et validé, il sera également recommandé de documenter les détails de l’incident, de dresser un retour d’expérience et ainsi d’ajuster les plans de protection et d’actions en conséquence, dans un souci d’amélioration continue.


3 phases de gestion d’une crise DDoS3 phases de gestion d’une crise DDoS

Pensez également à la mise en place d’un outil de détection et de seuils d’alerte pour enclencher les actions préventives puis défensives le plus tôt possible

Êtes-vous sûr que votre infrastructure de vos points d'accès Internet soit sécurisée ?

Avez-vous un SIEM pour centraliser et pour analyser vos logs sensibles ?


Différents outils Anti-DDoS (1/2)Différents outils Anti-DDoS (1/2)

Il existe 2 types d’outils anti-DDoS

• Les outils non managés par un prestataire Ce sont des outils que vous devez configurer et gérer vous-même.Comme par exemple la configuration d’un serveur dédié avec Tarpit & iptables(complexe et coûteux en temps si ce n’est pas votre métier)

L’utilisation de reverse-proxy ou de pare-feux de niveau 7 pour filtrer le flux en entrée mais ne sera moins efficace si vous subissez une attaque liée à la bande passante.

• Ceux managés par un prestataire.Une équipe du prestataire gére la détection, les alertes et la mitigation.(Leur moyens en terme de capacité réseaux et matériels sont adaptés puisque c’est leur métier)

C’est donc la 2eme solution que nous vous conseillons

Copyright NYTSEK - 2016


Voici donc quelques outils anti DDoS managés

Cyblex (IMS Networks), la première offre française de services managés de protection anti-DDoS*. http://www.cyblex.eu/solution.html



https://www.arbornetworks.com/

https://www.akamai.com/fr/fr/

https://f5.com/

https://www.incapsula.com/

http://www.tehtri-security.com/egambit/

http://www-03.ibm.com/software/products/fr/qradar


Accompagnement NYSTEKAccompagnement NYSTEK

Nous proposons de vous accompagner sur ce sujet :

Auditer rapidement l’existant – architecture, outils, organisation... ; Conseiller sur la meilleure stratégie à adopter pour votre contexte ;

Proposer le ou les outils, l’organisation, le processus de gestion de crise et les services en adéquation avec votre société ;

Intégrer la ou les solutions ;

Gérer le projet de la note de cadrage à la mise en production et en assurer le maintien en condition opérationnelle ;

Former votre personnel.

Nous sommes à votre disposition pour vous rencontrer, pour affiner votre besoin et pour chiffrer au mieux notre accompagnement.

ANNEXE

NYSTEK est une marque commerciale propriété de NYSTEK Editions et de NYSTEK Consulting. Copyright NYSTEK - 2016


Description technique des différents types d’attaque DDoS (1/3)


SYN, SSDP, UDP et ACK figurent parmi les protocoles et étiquetage de paquets IP les plus utilisés dans les attaques DDoS. Aidés en cela par l’exploitation des failles Shellshock, SQLi, LFI et autres.Il existe de nombreux types d'attaques par déni de service. Le simple fait d’empêcher un système de rendre un service peut être qualifié de « déni de service ».En voici les principaux :

Ping flooding : cette attaque consiste à envoyer un flux maximal de « ping » vers une cible.

Attaque Ping of Death : le principe est d'envoyer un paquet ICMP avec une quantité de données supérieure à la taille maximale d'un paquet IP. Si la cible n’est pas adaptée à gérer ce type de paquet, il peut se produire un crash.

SYN flood : cette technique consiste à saturer une machine en envoyant une multitude de paquets TCP avec le flag SYN armé. Cela créera une multitude de connexions en attente, demandant un grand nombre des ressources du système.

UDP Flood : l'attaquant envoie un grand nombre de requêtes UDP sur une machine. Le trafic UDP étant prioritaire sur le trafic TCP, ce type d'attaque peut vite troubler et saturer le trafic transitant sur le réseau.




L’attaque ARP : elle consiste à s'attribuer l'adresse IP de la machine cible, c'est-à-dire à faire correspondre son adresse IP à l'adresse MAC de la machine pirate dans les tables ARP des machines du réseau. Pour cela il suffit en fait d'envoyer régulièrement des trames ARP REPLY en diffusion, contenant l'adresse IP cible et la fausse adresse MAC. Cela a pour effet de modifier les tables dynamiques de toutes les machines du réseau. Celles-ci enverront donc leurs trames Ethernet à la machine pirate tout en croyant communiquer avec la cible.

L’attaque Teardrop : cette attaque utilise une faille propre à certaines piles TCP/IP. Cette vulnérabilité concerne la gestion de la fragmentation IP. Ce problème apparaît lorsque la pile reçoit le deuxième fragment d'un paquet TCP contenant comme donnée le premier fragment. La pile TCP/IP peut s'avérer incapable de gérer cette exception et le reste du trafic.

Smurfing : consiste à envoyer un ping en diffusion sur un réseau (A) avec une adresse IP source correspondant à celle de la cible (B). Le flux entre le port ping de la cible (B) et du réseau (A) sera multiplié par le nombre de machines sur le réseau (A), conduisant à une saturation de la bande passante du réseau (A) et du système de traitement des paquets de (B).




L’attaque land : consiste à envoyer des paquets TCP comportant une adresse source IP et un numéro de port identiques à ceux de la victime. Le host attaqué pense alors qu'il parle à lui même ce qui généralement provoque un crash.

Les bombes e-mail : le mail bombing consiste à envoyer de gros ou de nombreux fichiers à un utilisateur pour saturer sa boîte de réception de courrier électronique.

L’attaque Unreachable Host : cette attaque envoie des messages ICMP "Host Unreachable" à une cible, provoquant la déconnexion des sessions et la paralysie de la victime, même si ils sont envoyés à faible cadence.

MERCI POUR VOTRE ATTENTION!

www.nystek.com

CONTACTER NOUS

[email protected]@nystek-editions.com

VENEZ VISITER NOTRE SITE WEB!

NYSTEK est une marque commerciale propriété de NYSTEK Editions et de NYSTEK Consulting. Copyright NYSTEK - 2016

http://www.nystek.com/

mailto:[email protected]

Risques Liés au DDOS - NYSTEK · • Différents outils Anti-DDoS ... certain nombre de bonnes...

Documents

Transcript of Risques Liés au DDOS - NYSTEK · • Différents outils Anti-DDoS ... certain nombre de bonnes...