Les dénis de service exploitent généralement de fausses adresses IP sources afin de masquer l’origine des attaques. De telles adresses sont généralement choisies parmi les adresses IP dites réservées, ou BOGONS (RFC 1918). Ces BOGONS doivent être filtrés par les opérateurs de télécommunications en périphérie de leurs réseaux afin de limiter leur exploitation à des fins de déni de service. Force est cependant de constater que ces filtres ne sont pas appliqués de manière systématique.
La limitation en terme de bande passante d’un protocole tel que ICMP peut limiter les dénis de service fondés sur de tels messages. La limitation d’une bande passante par protocole réseau reste toutefois un exercice périlleux et souvent voué à l’échec de par la nature non prédictible des trafics.
D’autres mécanismes réseau sont disponibles, notamment l’URPF (Unicast Reverse Forwarding Protocol), qui permet de n’autoriser un trafic que si l’adresse source existe dans les tables de routage. Cependant, ces mécanismes peuvent être complexes à mettre en œuvre et ne protègent pas des dénis de service dans l’absolu.
Le puits de routage, ou black hole
La technique du puits de routage réseau, ou black hole, est réalisée par l’opérateur de télécommunications auquel est connecté le système visé par un déni de service. Elle comporte généralement les étapes suivantes :
1. Détection d’un déni de service sur une adresse IP. Le responsable de la dite adresse avertit son opérateur de télécommunications.
2. L’opérateur indique au processus de routage du réseau, généralement le protocole BGP (Border Gateway Protocol), que le trafic à destination de cette adresse IP doit être mis systématiquement à la poubelle. L’opérateur ne transporte pas ce flux, lequel est détruit à la périphérie de son réseau.
Bien que ce mécanisme offre une première réponse, l’attaque a réussi puisque le système est resté inaccessible pendant la durée de l’attaque. De plus, bien que cette solution permette à l’opérateur de télécommunications de protéger son cœur de réseau, elle n’est pas vraiment satisfaisante et a été remplacée par celle du puits de filtrage, dit sink hole.
Le puits de filtrage, ou sink hole
D’une manière générale, les équipements réseau n’ont pas forcément la capacité d’analy-ser et de filtrer le trafic pour séparer le trafic légitime de celui de l’attaque. Il faut donc rediriger le trafic vers un équipement dédié qui dispose de cette capacité.
Dans ce cas, le protocole de routage BGP ne propage pas l’adresse du puits de routage, mais celle d’un puits de filtrage. Tous les paquets à destination de l’adresse IP attaquée passent par cet équipement filtrant. Le puits de filtrage permet dès lors de déterminer précisément l’attaque à l’aide d’outils embarqués (Snort, Radware Defense Pro, etc.).
Une fois les données analysées, le trafic épuré de l’attaque est envoyé vers l’adresse IP destination, où, si possible, des filtres peuvent être mis en place sur les routeurs d’inter-connexion, comme l’illustre la figure 7.8.
Pour l’adresse IP ou le client visé par l’attaque, le puits de filtrage est bien plus efficace que le précédent, dans la mesure où son trafic n’est pas complètement coupé.
Cette solution montre toutefois ses limites lorsqu’il s’agit, par exemple, d’une attaque vers le port HTTP provenant d’une multitude de sources. Le filtre ne peut dès lors réagir qu’en interdisant tout le trafic HTTP vers cette adresse IP. Pour remédier à cela, des règles de filtrage fondées sur les données applicatives peuvent être définies.
Une fois l’attaque de déni de service stoppée, le retour à la normale consiste à arrêter d’annon-cer des routes spécifiques, les paquets utilisant alors automatiquement le chemin standard.
Figure 7.8
Le puits de filtrage réseau
ASy Réseau d’opérateur
Table de routage B 10.10.203.0/24 via routeur3 ....
B 10.10.203.25/32 via sink hole
Flux IP (utile+attaque) vers 10.10.203.25/32
Flux IP utile vers 10.10.203.25/32 Sink Hole
Routeur 1 Routeur 2
Routeur 3
Client, adresse 10.10.203.25/32
ASx Réseau d’opérateur
Analyse comportementale du trafic
Bien que les mécanismes précédents limitent les dénis de service, il ne s’agit pas à proprement de détection mais plutôt de prévention et de réaction. L’analyse comporte-mentale du trafic est un nouveau moyen de lutte contre les dénis de service par une analyse statistique du trafic. Elle se fonde sur la constatation que, lorsqu’un déni de service se produit, il modifie généralement le comportement statistique du trafic.
Les données qui permettent d’alimenter le moteur d’analyse comportemental sont four-nies soit par les équipements réseau grâce au protocole Netflow (voir figure 7.9), soit par des équipements dédiés, tels que les sondes Arbor Networks.
Le protocole Netflow s’appuie sur la notion de flux, un flux étant défini par les critères suivants :
• adresses source et destination ;
• protocole (TCP, UDP, ICMP, etc.) ;
• ToS (Type of Service) ;
• ports applicatifs ;
• interfaces d’entrée et de sortie du routeur.
Un équipement réseau utilisant Netflow maintient en mémoire une table des flux actifs à un instant donné et compte le nombre de paquets et d’octets reçus pour chaque flux. À chaque paquet reçu, le routeur met à jour le cache Netflow, soit en créant une nouvelle entrée, soit en incrémentant les compteurs d’une entrée déjà existante. Enfin, il transmet ces données à intervalle régulier à un serveur d’analyse.
Grâce à l’analyse statistique du trafic, il est possible de détecter toute déviation impor-tante susceptible d’être un déni de service. Cependant, une variation de trafic pouvant aussi être produite par un comportement normal et légitime, la détection des dénis de service nécessite des vérifications complémentaires.
Figure 7.9
Analyse statistique des trafics réseau
Réseau
Netflow Netflow Equipement réseau
Equipement réseau Equipement réseau
Collecteur des données de trafic (analyse statistique du trafic )