Manon, Muriel, Mickael, Yannick, Terry, Olivier, Pierre-Yves et Yann, vous souhaitent un joyeux Noël et de bonnes fêtes de fin d’année !

L’Equipe Celeonet.

Le 12 décembre 2009 nous avons fait face à une attaque d’une intensité sans précédent. L’effet directe de cette dernière a été l’inaccessibilité de nos infrastructures de 11:00 à 14:10.

Cet événement fait passer la disponibilité de notre réseau sur les 12 derniers mois de 99.98% à 99.94%, chiffre qui reste cependant tout à fait honorable.

Cet article a pour objectif d’apporter une explication claire et technique sur les attaques Ddos et sur les solutions mises en place pour les contrer.

Contexte technique
Celeonet héberge ses serveurs dans deux datacenters connectés par une fibre optique, Telecity SAS et le CNH de Completel à Aubervilliers.

Notre réseau est connecté à Internet par l’intermédiaire de deux routeurs Cisco 7206VXR NPE-G1 dans une configuration de redondance géographique et de lien.

Le routeur principal est connecté par l’intermédiaire de deux fibres optiques Gbs au réseau de Tinet et de Neotelecom, le second routeur est connecté au réseau de Completel et a pour vocation d’assurer la permanence d’accès à Internet de notre réseau en cas de panne du routeur principal.

Capacité
Ces deux routeurs ont une capacité de 1Gbs de bande passante et de 1 million de paquets par seconde. Ils sont surdimensionnés dans un usage normal du réseau Celeonet dont le débit est au maximum de 200Mbs et de 50 000 paquets par seconde.

Objectif d’une attaque Ddos
Une attaque Ddos a pour objectif de saturer la cible en l’inondant de paquets TCP ou UDP. Légitimement, nous pouvons nous demander pourquoi de telles attaques sont lancées contre notre réseau. La réponse n’est pas évidente et il ne nous semble pas opportun de verser dans la paranoïa.

Celeonet hébergeant actuellement plus de 11000 sites Internet, il est probable que cette présence de plus en plus importante fasse de notre réseau une cible de plus en plus visible pour les “nuisibles” du net.

Technique employée
Depuis début septembre, notre réseau est la cible répétée d’attaques Ddos par envoi de paquets UDP. Si la plupart est contrée par nos équipes sans qu’elle ne soit visible pour vous ou les visiteurs de vos sites, certaines ont un impact (23 septembre 2009 et 12 décembre 2009). Il est important de savoir qu’une attaque réussie est toujours suivie de nombreuses autres.

La technique employée consiste à envoyer vers notre réseau de nombreux paquets de données de très petite taille via le protocole UDP. L’utilisation de ce protocole n’est pas anodine : contrairement à TCP qui nécessite que la machine cible “réponde”, UDP permet d’envoyer des données vers une IP cible sans que la machine n’ait à répondre au flux qui lui est envoyé. Éteindre le serveur cible n’a donc aucun impact sur l’attaque.

Le routage de ces paquets de données a un impact direct sur le fonctionnement du routeur qui les traite. L’image suivante met en évidence la violence de l’attaque. A 11:00, un “trou” apparaît : le serveur réalisant les graphes de suivi n’obtient plus de réponse du routeur dans des temps raisonnables.

Une fois l’attaque contenue, l’utilisation CPU baisse et les graphes sont à nouveau réalisés. A 14:10, lorsque le réseau a été à nouveau disponible, l’utilisation du routeur était toujours de 91% pour une utilisation normale de 12%.

Mesures mises en place
Elles ont été nombreuses depuis septembre et ont permis de protéger notre réseau jusqu’à hier.

Nous avons créé un logiciel de suivi du nombre de paquets transitant par notre réseau. En cas de détection d’un nombre anormal de paquets, la machine cible est automatiquement mise hors ligne. Malheureusement, cette mesure reste sans effet dans le cas d’une attaque via le protocole UDP.

Des firewalls ont été déployés sur les tronçons les plus sensibles de notre réseau.

Netflow a été activé sur nos routeurs. Il s’agit d’une fonctionnalité de certains équipements réseaux permettant d’obtenir des informations sur le trafic qui les traverse, tel que le nombre de paquets par source d’émission, leur destination, leur taille, etc. C’est donc une fonctionnalité qui fournit des informations importantes pour la sécurité du réseau.

Connaître la source précise d’une attaque permet de blackholer les attaquants, c’est-à-dire que plutôt que de traiter les paquets envoyés par le serveur réalisant le Ddos, ces derniers sont envoyés vers un “trou noir” logiciel. C’est l’équivalent du /dev/null que connaissent tous les utilisateurs d’UNIX.

Il ne s’agit pas d’une mesure préventive mais curative.

Nouvelle stratégie
L’activation de Netflow se révèle être une erreur. S’il donne des informations pertinentes pour contrer une attaque, il est également très consommateur de ressources CPU lorsqu’il fournit des informations sur des centaines de milliers de paquets à la seconde.

Lors de l’attaque du 12 décembre 2009, si l’analyse de trafic n’avait pas été en place, notre réseau n’aurait pas connu d’indisponibilité.

Nous l’avons par conséquent désactivé et il ne sera plus utilisé qu’au coup par coup.

L’ampleur de cette dernière attaque nous force également à envisager le remplacement du routeur 7206VXR NPE-G1 principal par un routeur plus puissant, le Cisco ASR1004 10GE, dont la capacité en terme de traitement de paquets est de 15 millions par seconde.

Si vous souhaitez obtenir plus d’informations, vous pouvez poser vos questions par l’intermédiaire des commentaires du blog.

L’Équipe Technique