Actualités

Les attaques en DDoS ne sont pas toujours très visibles du grand public, mais constituent aujourd’hui le quotidien des opérateurs télécom et des datacenters. On a assisté il y a peu à une attaque totalisant un débit de 185 Gbits/s, alors que l’on était jusqu’à présent habitué à des attaques en dizaines de Gbits/s. Est-ce une fatalité ? Non nous répondent Eric Michonna et Mathieu Texier de l’éditeur Arbor Networks.

Les DDoS sont désormais le fait de structures très bien organisées et très puissantes. Les motivations sont diverses, et parfois confuses : motif politique contre un Etat, motif frauduleux avec des actions de racket, voire actions contre des groupes de presse… Les effets peuvent être catastrophiques. Ils impactent tout d’abord la qualité de service, puis la disponibilité des réseaux. Un flux de quelques dizaines de Gbits/s sur les DNS d’un opérateur peut faire tomber l’Internet. Les attaques varient en termes de durée et de violence, mais sont désormais quasiment quotidiennes. Des pays ont déjà été privés d’Internet. Les attaquants utilisent des réseaux de machines zombies pour commettre leurs méfaits. Ces réseaux se vendent et se rachètent sur le web. Les machines utilisées sont des ordinateurs de particuliers et de professionnels qui ont été contaminés.

La famille des logiciels Peak Flow d’Arbor Networks procèdent de différentes façons. Un CERT d’Arbor Networks recueille un grand nombre d’informations sur les attaques de l’Internet sur la base de données recueillie par des honeypots. On identifie ainsi des botnets et on élabore des signatures d’attaques. Peak Flow dispose de plus d’analyses comportementales des flux sur les réseaux. Il analyse les tendances des trafics, par exemple un changement brutal de la source géographique des trafics peut être un élément de suspicion.

Une approche globale


Le système d’Arbor Networks consiste à surveiller le trafic sur l’ensemble des réseaux et non en un point. C’est à partir de cette vue globale que l’analyse est réalisée et que l’outil propose une aide à la décision. La démarche est donc assez différente de celle qui consiste à mettre en œuvre des firewalls sur des points d’entrée, ou à faire une « deep packet inspection » en un point du réseau. La vision globale est nécessaire pour savoir comment contrer ces DDoS qui deviennent de plus en plus sophistiqués.

Les contre-mesures consistent le plus souvent à rediriger les flux nuisibles vers des « trous noirs » de l’Internet. On peut aussi envisager de refouler les trafics en provenance d’un pays donné. Les opérateurs et hébergeurs peuvent aussi configurer des objets précis au cœur de leurs réseaux et établir des règles d’acceptation et de refoulement des trafics.

Lire à ce sujet notre dossier "DDOS : l'attaque imparable".




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 145464
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12

Mag-Securs n°57

Dernier numéro

Événements SSI

Réduire