Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

De l’importance d’une analyse comportementale du trafic pour le filtrage des attaques DDoS

juillet 2018 par Pierre-Edourd FABRE, ingénieur de recherche chez 6cure

Le renouvellement constant des attaques par déni de service distribué (DDoS) est une indéniable réalité. Revenons seulement 4 ans en arrière : en 2014, le protocole SSDP devenait l’un des protocoles les plus utilisés pour mener des attaques par amplification, visant à générer facilement du trafic volumineux. La fin d’année 2016 voyait l’explosion d’une nouvelle source d’attaques : les botnets IoT, permettant aux attaquants d’exploiter une bande passante cumulée jusque-là jamais atteinte, dépassant le térabit par seconde. L’utilisation de tels botnets permet aussi une exploitation à grande échelle des protocoles ’stateful’ nécessitant l’établissement correct d’une connexion entre la cible et les sources de l’attaque, et donc ne permettant pas de d’utiliser des adresses IP fictive, comme les attaques HTTP. Au cours de la même période, le protocole ICMP revenait sur le devant de la scène pour dégrader la transmission du trafic au niveau des routeurs avec l’attaque BlackNurse. Sans s’étendre sur les nombreux autres vecteurs d’attaque découverts jusqu’à encore récemment, avec, par exemple, l’utilisation abusive du service Memcached par des attaquants, nous voyons ici l’émergence régulière de nouveaux types ou vecteurs d’attaques.

Le mois dernier, une nouvelle preuve de concept a été publiée, mettant à profit l’exploitation d’une mauvaise configuration de certains routeurs, ainsi que le protocole UPnP présent sur ces routeurs (cf. https://www.bleepingcomputer.com/news/security/ddos-attacks-leverage-upnp-protocol-to-avoid-mitigation/). Par ce biais, l’attaquant pourrait masquer les ports sources de ses attaques. Ainsi, dans le cas d’une attaque par amplification UDP, le port source vu par la victime ne correspondrait plus au port du service abusé, par exemple le port 53 pour de l’amplification par DNS, mais à un autre port dynamique comme pour un proxy.

Cette technique vise à contourner les méthodes de protection traditionnelles se basant sur des motifs connus d’attaques ou signatures. Ces méthodes s’appuient sur l’analyse des attaques pour identifier un point commun à chaque composante de l’attaque, par exemple, chaque paquet ou flux. Ce point commun permet l’élaboration d’une empreinte du trafic à filtrer. Dans l’exemple donné, il pourrait s’agit de supprimer tout le trafic provenant de serveurs DNS, ou autrement formulé : tout le trafic dont le protocole est UDP et le port source 53.

Ce type de mitigation est simple et limité par les champs sur lesquels on peut filtrer. En effet, ils se cantonnent très souvent à certains champs des protocoles de couche 3 et 4. En reprenant notre exemple, nous nous apercevons qu’un site protégé par un tel filtrage (« protocole UDP, port source 53 ») se verrait aussi filtrer ses propres requêtes DNS, et ne pourrait plus effectuer de résolution. Toutes les réponses en provenance de l’internet aux requêtes effectuées par des utilisateurs ou machines sur ce site correspondent effectivement à la signature. Certes, en combinant ce type de signature avec un seuil volumétrique, il est possible de limiter l’impact du mécanisme de filtrage mais cela peut néanmoins engendrer des faux positifs où le trafic légitime est (partiellement) bloqué.

Outre le fait d’engendrer de tels dégâts collatéraux, ces mécanismes de protection par signature sont bousculés par la preuve de concept introduite cette semaine. En effet, le port source ne reflète plus le service utilisé abusivement dans une attaque par amplification, grâce au processus de masquage. Aussi, il deviendrait inutile de déployer des filtrages se basant sur le port source d’un service abusé pour de l’amplification.

Ceci met en lumière la nécessité de ne pas s’appuyer en première intention sur un filtrage par signature, mais de disposer d’une protection intelligente, capable de s’adapter à la menace et de filtrer le trafic sur la base d’un comportement malicieux. La protection bénéficie alors de l’efficacité et de la rapidité d’un filtre traditionnel pour le trafic typiquement malicieux dans un contexte donné - par exemple des flux SNMP (« protocole UDP, port source 161 ») lorsque l’on protège un service ne nécessitant pas ce type de trafic - et de l’intelligence d’une protection comportementale pour les composantes de trafic pouvant contenir du trafic légitime. Cette protection intelligente se base sur une analyse comportementale en ligne. Aussi ne repose-t-elle pas sur une analyse a posteriori, ce qui rend alors le filtrage très réactif, capable d’éliminer l’attaque dans les secondes suivant son apparition. Afin de pouvoir s’adapter à de nouvelles attaques, l’analyse comportementale identifie les composantes du trafic malicieux indépendamment du protocole utilisé, comme des évènements redondants ou agressifs. Un tel mécanisme peut donc filtrer une attaque par amplification, quel que soit le service abusé pour réaliser l’amplification. Un masquage du port source ne peut donc échapper à une telle protection.

La solution anti-DDoS 6cure Threat Protection® bénéficie aussi de cette approche parmi l’ensemble de ses algorithmes de protection brevetés, la rendant particulièrement agile face aux « nouvelles » formes d’attaques. C’est pourquoi, dès l’annonce des nouvelles menaces, nous avons pu rassurer nos clients : ceux-ci étant déjà nativement protégés, aucune intervention, modification ou reconfiguration ne sont à apporter à leur plate-forme de protection 6cure.


Voir les articles précédents

    

Voir les articles suivants