Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Fabrice Clerc, Président de 6Cure : Water Torture, subir une attaque DDoS sans recevoir le moindre paquet !

octobre 2014 par Marc Jacob

6cure, en tant que « pure player » dans le domaine des solutions anti-DDoS, a souhaité, lors des Assises de la sécurité, apporté un éclairage nouveau sur ces attaques, qui risque de bousculer les idées reçues ou en tout cas, qui va à l’encontre de ce que l’on a l’habitude de lire dans ce domaine.

Quel bilan faites-vous de cette édition des Assises de la Sécurité ?

Fabrice Clerc : 2014 a été un excellent cru pour 6cure. Pour notre 3eme participation, nous gagnons en visibilité, et de nombreux RSSI confrontés à la problématique des Dénis de Service nous ont rendu visite. De plus en plus d’entre eux sont d’ailleurs convaincus de la pertinence de nos solutions, et sont sensibles à notre proposition de valeur.
Nous avons pu aussi, comme nous l’avions annoncé, bousculer un peu les idées reçues lors de notre présentation en atelier.

Justement, qu’avez-vous présenté à cet atelier ?

Fabrice Clerc :Un éclairage différent, par exemple sur la source des attaques, sur les différents modes de protection existants, et sur la nature des attaques en croissance. Nous avons évoqué notamment de nouveaux types d’attaques, qui sont peu médiatisés mais très efficaces. Enfin, tout au moins qui étaient peu médiatisés, car certaines attaques, telles que celles qui exploitent le protocole SSDP par exemple, sont désormais mentionnées dans la presse spécialisée, qui citent d’ailleurs parfois des témoignages très récents de certains de nos concurrents.

On associe souvent les attaques DDoS à des attaques massives, à fort volume en termes de données échangées, en termes de paquets. Est-ce toujours le cas ?

Fabrice Clerc : Effectivement, il y a eu beaucoup de bruit autour des attaques massives qui s’appuient sur des protocoles type DNS, NTP, SNMP même si la majorité d’entre elles restent très connues et basiques comme les attaques « http Get Flood », « Syn flood », etc.
Ce qui est, en revanche, plus gênant ce sont les attaques lentes ou plus discrètes. Nous avons eu à faire cette année et nous avons toujours à faire, par exemple, à des attaques Water Torture qui combinent l’utilisation d’une infrastructure DNS pour une attaque en réflexion, et une stratégie de saturation lente. Le principe de cette attaque est de réaliser un DDoS sans vous envoyer un seul paquet ! On est donc loin des attaques massives traditionnelles et pourtant le résultat final est bien le même.

L’attaquant qui cible un site web, va solliciter le serveur DNS, en lui envoyant des requêtes spécifiques, comportant en « préfixe » un nom de sous-domaine aléatoire (1 à 16 caractères), et en « suffixe » le nom de domaine correspondant au site visé.
Pour cela, cet attaquant va mobiliser un botnet, dont les membres vont envoyer des requêtes (telles que décrites ci-avant) vers des open resolvers DNS, qui vont les transmettre au serveur DNS primaire dont dépend le nom de domaine visé.
Le serveur DNS primaire, qui ne connait pas les adresses IP correspondant aux requêtes forgées aléatoirement, va solliciter les serveurs autoritaires. Ces derniers sont évidemment incapables de donner la réponse puisque celle-ci n’existe pas. Ils vont donc commencer à ralentir sous le nombre de requêtes à traiter, puis rapidement, vont devenir incapables de traiter les requêtes si ce nombre augmente. Ils deviennent alors indisponibles, y compris pour les utilisateurs légitimes qui souhaitent accéder au site, et le site web visé devient donc également indisponible, sans avoir reçu un seul paquet d’attaque.
En prime, l’attaquant peut se faire passer pour le DNS autoritaire en répondant à sa place, et en fournissant la réponse aux requêtes légitimes. IL peut ainsi donner l‘adresse IP de son choix, empoisonner le cache DNS, et faire en sorte que tout le trafic DNS associé au site soit détourné vers lui, une fois que l’attaque aura cessé.
Enfin, et surtout, cette attaque pose un problème potentiellement plus grave, car le DNS primaire peut être mis lui-même hors service en mobilisant relativement peu de moyens, si l’attaquant sait exploiter à son profit le fonctionnement de ce DNS primaire.

Prenons l’exemple d’un attaquant qui mobilise un botnet de seulement 1000 machines, en leur demandant à chacune d’émettre seulement 5 requêtes par secondes sur 2 noms de domaines. Le botnet génère ainsi 10000 requêtes par secondes. Cela représente un volume assez faible, et les requêtes risquent de toutes façons de passer inaperçues, car elles sont non-redondantes.
Si les DNS autoritaires sont indisponibles, le DNS primaire qui reçoit ces requêtes, va se mettre en attente des réponses, avec un timeout initial de 5 secondes. En cas d’échec, il va refaire une tentative en doublant le timeout. Il peut ainsi renouveler l’opération entre 2 et 4 fois, et en doublant à chaque fois le temps d’attente.
Ainsi, un DNS primaire peut se retrouver rapidement face à plusieurs centaines de milliers de requêtes à gérer, ce qui devient considérable. Il a donc toutes les difficultés à servir l’ensemble des requêtes légitimes, et peut rapidement devenir indisponible. De cette façon, les autres sites dépendant de ce serveur DNS primaire seront aussi injoignables.

Avez-vous d’autres informations inédites ?

Fabrice Clerc : Oui, mais nous préférons vous réserver la surprise, et éviter de les citer, pour être sûr d’avoir le plaisir d’être les premiers à vous en parler de manière détaillée.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants