Contactez-nous

Contact

Poser une question en ligne Contacter nos équipes

Aide en ligne

Tutos FAQ Chatbot d'assistance
Notifications ProNet entre DMS et FAI
Réseaux de communication protecteurs - Des réponses coordonnées à des attaques distribuées
TE7750 v1 Article de référence

Notifications ProNet entre DMS et FAI
Réseaux de communication protecteurs - Des réponses coordonnées à des attaques distribuées

Auteur(s) : Mohamed BOUCADAIR, Christian JACQUENET

Relu et validé le 24 août 2021 | Read in English

Logo Techniques de l'Ingenieur Cet article est réservé aux abonnés
Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?

Présentation

1 - Introduction

  • 1.1 - Hémergence de services de mitigation
  • 1.2 - Un service de mitigation est à portée limitée
  • 1.3 - De la difficulté de traiter des attaques massives, protéiformes et de longue durée
  • 1.4 - De l’impossibilité de fiabiliser des informations descriptives d’attaques en cours
  • 1.5 - Besoin de gestion proactive des attaques

2 - Automatiser le recours aux services de mitigation

3 - Architecture ProNet

4 - Souscription au service ProNet

5 - Notifications ProNet entre DMS

6 - Notifications ProNet entre DMS et FAI

7 - Perspectives

8 - Glossaire

Sommaire

Présentation

RÉSUMÉ

Les attaques sont protéiformes tant par leur nature que par leur amplitude et leur portée de nuisance. Les solutions classiques de mitigation locale ne sont pas optimales pour certaines attaques car les actions de mitigation n’auront qu’une portée limitée à celle du périmètre du service de mitigation, sans préjuger des dégâts que pourrait infliger l’attaque dans d’autres régions du réseau. Ainsi, une réponse coordonnée et distribuée de la part de plusieurs services de mitigation est à même de répondre à des attaques largement distribuées. Cet article décrit une architecture de mitigation collaborative impliquant plusieurs services de mitigation pour une meilleure gestion proactive et automatique de ces attaques.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

INTRODUCTION

Une attaque DDoS (Distributed Denial of Service) est une tentative de rendre indisponibles pour leurs utilisateurs des ressources réseau, des ressources de calcul, voire l’accès à des services. Dans la plupart des cas, de telles attaques peuvent être massives et de nature à compromettre plusieurs centaines de milliers de terminaux qui peuvent à leur tour être utilisés comme relais pour amplifier le pouvoir de nuisance de l’attaque. L’édition 2019 du rapport Symantec fait notamment état :

  • de 24 000 applications embarquées dans des terminaux mobiles et qui sont bloquées quotidiennement ;

  • d’une augmentation de 600 % entre 2016 et 2017 du nombre d’attaques ayant visé des objets connectés (Internet des Objets) ;

  • d’une augmentation de la volumétrie du trafic d’attaque entre 2016 et 2017. En 2016, le trafic d’attaque représentait 5 % du trafic Web global et 7,8 % en 2017.

De récentes statistiques indiquent également une évolution sensible de la durée des attaques : la grande majorité (77 %) des attaques détectées en 2017 a duré plus d’une heure, et 6 % d’entre elles ont duré au moins 12 heures, voire plus d’une journée (3 %). Au cours du dernier trimestre 2018, une attaque a duré 329 heures (pratiquement deux semaines), selon les données d’un rapport Kaspersky.

L’ampleur de telles attaques en termes de durée mais aussi en termes de propagation complique encore un peu plus la tâche du ou des services de protection (appelés DMS pour DDoS Mitigation Service, service de mitigation d'attaques DDoS) susceptibles d’être mobilisés pour la résolution de ces attaques.

En outre, le rapport ATLAS a révélé que :

  • 274 attaques ont dépassé le seuil de 100 Gbit/s au premier semestre 2016 contre 223 attaques pour toute l’année 2015 ;

  • 46 attaques ont dépassé le seuil de 200 Gbit/s au premier semestre 2016, alors que seulement 16 attaques ont été observées en 2015 ;

  • les États-Unis, la France et la Grande-Bretagne sont les cibles privilégiées des attaques dont le volume dépasse 10 Gbit/s.

Depuis la publication de ces rapports, les attaques DDoS sont de plus en plus fréquentes et intenses, comme l’attaque subie par un fournisseur français, et dont le volume a dépassé 1 Tbit/s. De plus, avec l’avènement des « Booters » (ou « stressers », plateformes de vente de déni de service) et le concept de « DDoS-as-a-Service », exécuter des attaques DDoS à grande échelle est pratiquement devenu à la portée de tous.

Selon une autre étude :

  • plus de 20 millions d’attaques d’usurpation d’adresse IP ciblant plus de 2 millions des préfixes IPv4 (/24) ont été réalisées. Ces préfixes représentent plus d’un tiers des préfixes annoncés sur Internet ;

  • 4,3 % des cibles des attaques ont souscrit à une offre de mitigation DMS après avoir subi l’attaque (section 1).

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-te7750

Lecture en cours
Présentation

Article inclus dans l'offre

"Réseaux Télécommunications"

(140 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

6. Notifications ProNet entre DMS et FAI

L’activation de filtres locaux à chaque domaine ne permet pas de bloquer une attaque à l’échelle de l’Internet. De plus, et étant donné le nombre important de machines sources impliquées dans une attaque, un nombre important de filtres est requis.

L’application de ces filtres a une incidence sur les performances des routeurs et pare-feu.

Afin de résoudre ce problème d’une manière globale, les services DMS peuvent collaborer avec les fournisseurs d’accès pour bloquer en amont les machines injectant du trafic caractéristique d’une attaque dès que possible, de façon à limiter la propagation du trafic caractéristique de l’attaque. Ces fournisseurs d’accès pourront ensuite empêcher ces machines de se connecter au(x) réseau(x) d’accès, en refusant de leur allouer des adresses IP.

Cette solution suppose que les fournisseurs d’accès exposent une API pour fournir à des tiers des services à valeur ajoutée tels que le filtrage des adresses.

Concrètement, un agent DPA détermine le fournisseur d’accès responsable d’une ressource IP impliquée dans une attaque. Ces informations sont disponibles publiquement (par exemple en consultant les données de la base RIPE (Réseaux IP Européens)).

https://apps.db.ripe.net/db-web-ui/#/query ?searchtext=xx.xx.xx.xx#resultsSection

L’architecture ProNet associe une ou plusieurs adresses de serveurs hébergés par ces fournisseurs et qui exposent des API ProNet.

Ainsi, si cette extension est supportée, la réponse à une même requête concernant une adresse retournera les informations décrites dans la figure 38.

La réponse précise en particulier que le/les serveurs de validation pour cette plage d’adresses est joignable avec deux adresses : « a.b.c.d » et « a.b.c.e ».

Une fois cette adresse récupérée, l’agent DPA envoie une demande de filtrage au fournisseur d’accès comme l’illustre la figure 39.

Sur réception du message ACTION_REQUEST, le fournisseur d’accès procède à des vérifications telles que celle qui consiste à s’assurer que l’agent DPA demandeur est une entité de confiance....

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

Lecture en cours
Notifications ProNet entre DMS et FAI

Article inclus dans l'offre

"Réseaux Télécommunications"

(140 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - BOUCADAIR (M.), Ed, REDDY (T.K.), Ed -   Distributed Denial-of-Service Open Threat Signaling (DOTS) Data Channel Specification.  -  RFC 8783, DOI 10.17487/RFC8783, https://www.rfc-editor.org/info/rfc8783 (2020).

  • (2) - REDDY (K.T.), Ed, BOUCADAIR (M.), Ed, PATIL (P.), MORTENSEN, (A.), TEAGUE (N.) -   Distributed Denial-of-Service Open Threat Signaling (DOTS) Signal Channel Specification.  -  RFC 8782, DOI 10.17487/RFC8782, https://www.rfc-editor.org/info/rfc8782 (2020).

  • (3) - RESCORLA (E.) -   The Transport Layer Security (TLS) Protocol Version 1.3.  -  RFC 8446, DOI 10.17487/RFC8446, https://www.rfc-editor.org/info/rfc8446 (2018).

  • (4) - BORMANN (C.), HOFFMAN (P.) -   Concise Binary Object Representation (CBOR).  -  RFC 7049, DOI 10.17487/RFC7049, https://www.rfc-editor.org/info/rfc7049 (2013).

  • (5) - RESCORLA (E.), MODADUGU (N.) -   Datagram Transport Layer Security Version 1.2.  -  RFC 6347, DOI 10.17487/RFC6347, https://www.rfc-editor.org/info/rfc6347 (2012).

  • ...
Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

Article inclus dans l'offre

"Réseaux Télécommunications"

(140 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

Sommaire

QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE

Entraînez vous autant que vous le voulez avec les quiz d'entraînement.

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Article inclus dans l'offre

"Réseaux Télécommunications"

(140 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

S'inscrire à la Veille Personnalisée

Ressources documentaires

Principaux protocoles de transmission de données

Le protocole SSH

Le protocole SSH (Secure Schell) constitue une approche puissante, pratique et sécurisé pour protéger ...

Attaques des réseaux

La sécurité des réseaux informatiques est devenue un véritable fléau que personne aujourd’hui ne cherche ...

MPLS : applications à l’ingénierie de trafic et à la sécurisation

Devant la croissance des débits d’accès, des méthodes d’ingénierie de trafic pour les réseaux IP sont ...

Tous les livres blancs
Toutes les actualités
Toutes les conférences en ligne