« Ils sont en ligne !
Joyeuses Fêtes ! »

Flood du réseau Celeonet

Le 12 décembre 2009 nous avons fait face à une attaque d’une intensité sans précédent. L’effet directe de cette dernière a été l’inaccessibilité de nos infrastructures de 11:00 à 14:10.

Cet événement fait passer la disponibilité de notre réseau sur les 12 derniers mois de 99.98% à 99.94%, chiffre qui reste cependant tout à fait honorable.

Cet article a pour objectif d’apporter une explication claire et technique sur les attaques Ddos et sur les solutions mises en place pour les contrer.

Contexte technique
Celeonet héberge ses serveurs dans deux datacenters connectés par une fibre optique, Telecity SAS et le CNH de Completel à Aubervilliers.

Notre réseau est connecté à Internet par l’intermédiaire de deux routeurs Cisco 7206VXR NPE-G1 dans une configuration de redondance géographique et de lien.

Le routeur principal est connecté par l’intermédiaire de deux fibres optiques Gbs au réseau de Tinet et de Neotelecom, le second routeur est connecté au réseau de Completel et a pour vocation d’assurer la permanence d’accès à Internet de notre réseau en cas de panne du routeur principal.

Capacité
Ces deux routeurs ont une capacité de 1Gbs de bande passante et de 1 million de paquets par seconde. Ils sont surdimensionnés dans un usage normal du réseau Celeonet dont le débit est au maximum de 200Mbs et de 50 000 paquets par seconde.

Objectif d’une attaque Ddos
Une attaque Ddos a pour objectif de saturer la cible en l’inondant de paquets TCP ou UDP. Légitimement, nous pouvons nous demander pourquoi de telles attaques sont lancées contre notre réseau. La réponse n’est pas évidente et il ne nous semble pas opportun de verser dans la paranoïa.

Celeonet hébergeant actuellement plus de 11000 sites Internet, il est probable que cette présence de plus en plus importante fasse de notre réseau une cible de plus en plus visible pour les “nuisibles” du net.

Technique employée
Depuis début septembre, notre réseau est la cible répétée d’attaques Ddos par envoi de paquets UDP. Si la plupart est contrée par nos équipes sans qu’elle ne soit visible pour vous ou les visiteurs de vos sites, certaines ont un impact (23 septembre 2009 et 12 décembre 2009). Il est important de savoir qu’une attaque réussie est toujours suivie de nombreuses autres.

La technique employée consiste à envoyer vers notre réseau de nombreux paquets de données de très petite taille via le protocole UDP. L’utilisation de ce protocole n’est pas anodine : contrairement à TCP qui nécessite que la machine cible “réponde”, UDP permet d’envoyer des données vers une IP cible sans que la machine n’ait à répondre au flux qui lui est envoyé. Éteindre le serveur cible n’a donc aucun impact sur l’attaque.

Le routage de ces paquets de données a un impact direct sur le fonctionnement du routeur qui les traite. L’image suivante met en évidence la violence de l’attaque. A 11:00, un “trou” apparaît : le serveur réalisant les graphes de suivi n’obtient plus de réponse du routeur dans des temps raisonnables.

Une fois l’attaque contenue, l’utilisation CPU baisse et les graphes sont à nouveau réalisés. A 14:10, lorsque le réseau a été à nouveau disponible, l’utilisation du routeur était toujours de 91% pour une utilisation normale de 12%.

Mesures mises en place
Elles ont été nombreuses depuis septembre et ont permis de protéger notre réseau jusqu’à hier.

Nous avons créé un logiciel de suivi du nombre de paquets transitant par notre réseau. En cas de détection d’un nombre anormal de paquets, la machine cible est automatiquement mise hors ligne. Malheureusement, cette mesure reste sans effet dans le cas d’une attaque via le protocole UDP.

Des firewalls ont été déployés sur les tronçons les plus sensibles de notre réseau.

Netflow a été activé sur nos routeurs. Il s’agit d’une fonctionnalité de certains équipements réseaux permettant d’obtenir des informations sur le trafic qui les traverse, tel que le nombre de paquets par source d’émission, leur destination, leur taille, etc. C’est donc une fonctionnalité qui fournit des informations importantes pour la sécurité du réseau.

Connaître la source précise d’une attaque permet de blackholer les attaquants, c’est-à-dire que plutôt que de traiter les paquets envoyés par le serveur réalisant le Ddos, ces derniers sont envoyés vers un “trou noir” logiciel. C’est l’équivalent du /dev/null que connaissent tous les utilisateurs d’UNIX.

Il ne s’agit pas d’une mesure préventive mais curative.

Nouvelle stratégie
L’activation de Netflow se révèle être une erreur. S’il donne des informations pertinentes pour contrer une attaque, il est également très consommateur de ressources CPU lorsqu’il fournit des informations sur des centaines de milliers de paquets à la seconde.

Lors de l’attaque du 12 décembre 2009, si l’analyse de trafic n’avait pas été en place, notre réseau n’aurait pas connu d’indisponibilité.

Nous l’avons par conséquent désactivé et il ne sera plus utilisé qu’au coup par coup.

L’ampleur de cette dernière attaque nous force également à envisager le remplacement du routeur 7206VXR NPE-G1 principal par un routeur plus puissant, le Cisco ASR1004 10GE, dont la capacité en terme de traitement de paquets est de 15 millions par seconde.

Si vous souhaitez obtenir plus d’informations, vous pouvez poser vos questions par l’intermédiaire des commentaires du blog.

L’Équipe Technique

Cet article a été publié le Lundi 14 décembre 2009 à 11:24 et est classé dans Non classé. Vous pouvez en suivre les commentaires par le biais du flux RSS 2.0. Vous pouvez laisser un commentaire, ou faire un trackback depuis votre propre site.

8 commentaires pour “Flood du réseau Celeonet”

  1. Sébastien Delorme dit :
    14 décembre 2009 à 12:24

    Merci pour tous ces renseignements et cette transparence.

  2. Fred dit :
    14 décembre 2009 à 12:38

    Bonjour,
    Merci pour vos explications techniques. Je ne remets pas en cause votre qualité ni capacité à répondre aux soucis rencontrés (vieux client inside lol)
    Cependant je ne peux que vous supplier d’utiliser votre compte twitter, seul lien qui nous permet rapidement de savoir ce qui se passe hors votre réseau quand celui-ci est en carafe.
    Il n’y a rien de pire pour moi que de voir mes sites en rade (et encore, ce ne sont pas des sites pro) et de ne pas savoir si le souci vient de mon site, de celeonet ou d’une cause extérieure.
    Je comprends la difficulté de comm là dessus, mais ne nous laissez plus en panne d’info !
    Merci d’avance.

  3. Henri de Solages dit :
    14 décembre 2009 à 15:55

    Bonjour.

    Merci pour cette information précise.
    Une action à la fois curative et préventive consisterait à faire une enquête sérieuse, à porter plainte contreX, et, si par hasard les pirates sont retrouvés, à publier sur le site les peines auxquelles ils ont été condamnés. Au Royaume-Uni, une loi spéciale punit les attaques par déni de service jusqu’à 10 ans de prison, ce qui laisse au pirate le temps de réfléchir à sa prochaine attaque.
    http://en.wikipedia.org/wiki/Denial_of_service#Denial-of-service_attacks_and_the_law
    Mais même sans loi spéciale, les lois générales s’appliquent, comme en Russie où 3 pirates ont été effectivement condamnés à 8 ans de prison
    http://fr.wikipedia.org/wiki/D%C3%A9ni_de_service#En_Russie
    Bon, 8 ans, c’est moins que 10, mais tout de même, ça laisse le temps de préparer une attaque bien préméditée, et de post-méditer sur la précédente. ;-)

    Cordialement.

  4. Benjamin dit :
    14 décembre 2009 à 17:08

    bonjour,
    je rejoins ce que dis Fred,
    il serait intéressant de communiquer lorsque ce genre de choses se produit.
    il a proposé twitter… pourquoi pas aussi facebook !

    Que nous puissions être informé :)

    Merci
    Bonne journée
    B.

  5. Arnaud dit :
    14 décembre 2009 à 19:49

    Bonsoir,

    Merci pour ces explications.
    De mon côté, je ne peux pas me connecter au site cbxs.fr (Erreur “ECONNREFUSED - Connection refused by server”).
    Pouvez-vous me dire si le problème est lié à l’attaque de ce WE et sil est en cours de traitement ?

    Merci d’avance.

  6. Teophile dit :
    14 décembre 2009 à 21:19

    Merci de ces infos.

    Samedi je testai des plugins et autres composants pour mettre en oeuvre sur mon site des abonnement, et j’ai mis quelque minutes à réagir …/ …

    Effectivement avoir une solution pour nous prévenir par une autre voie est une excellente idée.

    Mon avis : En effet il est préférable d’investir dans des plans d’action destinés à supprimer les “causes racine” relatives aux fonctions techniques permettant de réaliser le flux de service principal plutôt que sur fonctions techniques de contrôle qui dans bon nombre de cas masquent et/ou augmentent les effets en ajoutant leurs propres causes de dysfonctionnement.
    Ou alors il faut doubler les fonctions techniques sur le flux de service.

    Merci d’avance.

  7. luc dit :
    14 décembre 2009 à 22:37

    Merci pour ces explications. Il est vrai qu’ayant vu tous les sites (dont les miens) que je sais hébergé chez vous qui étaient “tombés”, j’ai vite chercher des explications (sur twitter notamment) … peine perdue.

    Dans tous les cas bravo à vos équipe pour la résolution ma foi rapide de cet incident.

  8. Vigilance Internet dit :
    10 janvier 2010 à 15:08

    Effectivement, il peut s’agir de la rançon du succès… En tous cas, merci pour l’info très détaillée.

Laisser un commentaire