Je m'appelle Matthew Prince, je suis l'un des cofondateurs et PDG de CloudFlare. Ne pensez pas que je serai aussi intĂ©ressant que le directeur de la NSA, mais au moins j'essaierai d'ĂȘtre moins controversĂ©. En fait, je suis professeur de droit privĂ©, j'ai donc lu la Constitution et je peux entamer une longue discussion sur ce sujet. Un jour, nous en discuterons en dĂ©tail, j'espĂšre que je pourrai vous raconter l'histoire des poursuites que nous menons actuellement contre le gouvernement des Ătats-Unis afin de contester certaines choses qui se produisent, car c'est complĂštement absurde.
Je vais vous raconter une histoire moins intéressante, mais dramatique, qui s'est déroulée du 18 au 25 mars, lorsqu'un de nos clients a subi une grave attaque DDoS. Je ne parlerai pas beaucoup de CloudFlare, si vous voulez en savoir plus sur notre service, allez simplement sur le site. Mais lorsque notre client a été attaqué, c'était un événement du genre dont les journalistes aiment parler, et cette attaque a été couverte par le New York Times pendant 4 jours consécutifs. C'était une attaque vraiment puissante, donc je veux en parler.
Il existe donc une organisation à but non lucratif appelée Spamhaus qui suit les spammeurs et leurs activités. Je connais ces gars-là il y a trÚs longtemps, de 2006 à 2007, lorsque le spammeur présumé de l'Illinois les a poursuivis. Ensuite, le fondateur de cette organisation, Steve Linford, m'a appelé et m'a demandé si je pouvais agir en tant qu'avocat gratuit. J'ai répondu que j'étais un avocat privé, ce qui signifie que j'enseignais aux élÚves en classe, mais je n'ai jamais parlé au tribunal. J'ai trÚs vite trouvé un véritable avocat pour eux, qui les a rapidement aidés à «résoudre» la situation, donc je sais que Spamhaus est une organisation trÚs décente, ils fonctionnent assez ouvertement.
De nombreuses organisations sont nos clients, mais elles n'aiment pas parler ouvertement de leurs problÚmes, mais les gars de Spamhaus ne sont pas si fermés, et quand ils ont été attaqués, ils nous ont appelés et ont dit: "Hé, nous pouvons vous raconter notre histoire!" Voici donc une histoire sur l'attaque de Spamhaus et sur ce qui s'est passé dans les coulisses quand ils ont été abattus.
J'ai divisĂ© cette histoire en 3 parties. Le premier est la nature de l'attaque, ce qu'elle est et qui est derriĂšre elle. Si vous voulez en savoir plus Ă ce sujet, venez Ă DefCon, oĂč je vais parler la semaine prochaine.
La deuxiĂšme partie est ce qui doit ĂȘtre fait pour arrĂȘter l'attaque, comment crĂ©er un rĂ©seau qui en est vraiment capable. Ce n'est pas une histoire de grande intelligence ou de logiciel incroyable, c'est vraiment l'histoire de la construction d'un rĂ©seau intelligent.
La derniĂšre partie est ce que vous pouvez faire sur vos propres rĂ©seaux pour arrĂȘter ce type d'attaque. Je promets que le rĂ©sultat du discours ne fera pas campagne pour utiliser le service CloudFlare comme le plus sĂ©curisĂ©; au lieu de cela, je vous parlerai de choses avancĂ©es qui, si elles sont faites, vous rendront moins vulnĂ©rable Ă de telles attaques DDoS.
Ainsi, le lundi 18 mars, nous avons reçu un appel d'un des volontaires de Spamhaus qui nous a informés de l'attaque. Voici à quoi ressemblait leur site à cette époque - les attaquants l'ont mis dans un état «hors ligne», le déconnectant effectivement d'Internet.
Les mĂ©dias ont Ă©crit plus tard que l'attaque avait Ă©tĂ© commise par quelqu'un Fenn, qui vit dans un bunker quelque part aux Pays-Bas. Ce mec n'Ă©tait pas le vĂ©ritable initiateur de cette action, il Ă©tait probablement juste celui qui Ă©tait prĂȘt Ă donner une interview au New York Times. Au contraire, le vĂ©ritable cerveau de l'attaque est cet adolescent de 15 ans de Londres qui est maintenant en Ă©tat d'arrestation, mais la presse ne fait pas d'histoires Ă ce sujet.
Dans un article daté du 23/03/2013, le New York Times a écrit que l'attaque avait été menée par la société danoise Cyberbunker en réponse à la liste noire de l'organisation Spamhaus pour spamming. Le siÚge de Cyberbunker était en effet situé dans un bunker de l'OTAN abandonné (traducteur de notes).
TrĂšs probablement, la raison de cette action Ă©tait le fait que Spamhaus avait dĂ©clarĂ© quelqu'un un spammeur. Cette organisation fait beaucoup de bien, mais il arrive quâelle pince la queue de quelqu'un, et dans ce cas, le camp offensĂ© prend des mesures de rĂ©torsion, dans ce cas, il organise une attaque. Spamhaus est techniquement suffisamment averti pour repousser de nombreux types d'attaques, mais dans ce cas, un coup de groupe massif est tombĂ© sur leur infrastructure DNS et a simplement mis le site hors du rĂ©seau. Cela pouvait arriver Ă n'importe quelle organisation et ils voulaient y mettre un terme. Ils savaient que nous aidions Ă prĂ©venir de telles attaques, alors ils se sont tournĂ©s vers nous.
Du 18 au 21 mars, ce que nous appelons des «attaques allĂ©chantes». De telles attaques sont comme notre pain, chaque semaine, nous avons plusieurs attaques similaires. Pour vous donner une idĂ©e de leur ampleur, je dirai que la semaine derniĂšre, nous avons enregistrĂ© 162 attaques contre nos clients, et nous les avons stoppĂ©es avec succĂšs. Ces attaques DoS se produisent Ă des taux allant de 10 Ă 80 Gigabits par seconde. Pour certaines organisations, telles que financiĂšres, les attaques qui se produisent avec une telle intensitĂ© peuvent ĂȘtre dangereuses. Ainsi, l'annĂ©e derniĂšre, certaines institutions financiĂšres ont souffert d'attaques DoS d'une intensitĂ© de 60 Ă 80 Gb / s, cependant, je le rĂ©pĂšte - ce sont des attaques assez courantes qui nous sont familiĂšres, et il n'y a rien Ă mentionner Ă la confĂ©rence BlackHat.
Une autre chose à noter est que les attaques DoS ne sont pas toutes identiques, le volume de l'attaque, c'est-à -dire le nombre de paquets sur lesquels le site est attaqué, est d'une grande importance. Ce dont nous allons parler aujourd'hui fait référence aux attaques de niveau 3, c'est-à -dire aux attaques sur la couche réseau du modÚle OSI. Il s'agit purement d'une attaque de volume. Mais ce n'est pas la pire, bien pire attaque du 7Úme niveau d'application, ce qui n'est pas si volumineux, mais crée beaucoup plus de problÚmes pour des applications spécifiques. Mais aujourd'hui, je ne vais pas discuter des attaques qui nécessitent un logiciel spécial.
Il en va de mĂȘme pour les attaques DoS de niveau 4, lorsque l'attaquant utilise des paquets Syn de petit volume, causant des dommages considĂ©rables Ă la victime, car son systĂšme d'exploitation est incapable de faire face Ă ces demandes.
Dans notre cas, l'attaque est basée uniquement sur un volume important, qui essaie de vous détruire au niveau 3, de vous assommer du réseau et de sursaturer le port en trafic. Mercredi 20 mars, l'un des ports de notre réseau a été attaqué, ou plutÎt un ensemble de ports, sur l'un desquels le site de Spamhaus "s'est assis".
Cette diapositive montre le cache du proxy, la ligne bleue est le trafic provenant de notre réseau et la zone verte est le trafic entrant. Le point culminant à la fin du calendrier est l'attaque qui a complÚtement frappé Spamhaus et a fait tomber notre réseau. Notre réseau résiste calmement aux attaques de 75 Gb / s, car il est conçu pour "digérer" un tel volume de trafic.
Cependant, lors de l'attaque du 20 mars, un plafond d'intensitĂ© DoS de 100 Gbit / s a ââĂ©tĂ© atteint. Cela ressemblait Ă un cas exceptionnel, car si vous achetez ou crĂ©ez un routeur de base, vous contactez alors quelqu'un comme Cisco ou Juniper, et la «boĂźte» la plus cool et la plus grande que vous pouvez acheter chez eux a un port d'une capacitĂ© de 100 gigaoctets. ThĂ©oriquement, vous pouvez utiliser plusieurs ports de 100 gigabits et les passer via une seule interface, mais le plafond des attaques DoS ne dĂ©passe gĂ©nĂ©ralement pas le volume spĂ©cifiĂ©.
Peu de temps aprÚs, Tom, l'un de nos ingénieurs réseau, m'a appelé et m'a dit que l'intensité de l'attaque avait augmenté. Elle peut sortir des limites, alors j'ai demandé combien elle avait grandi, pensant que nous parlions d'un léger excÚs. La diapositive suivante montre l'intensité des nouvelles attaques qui ont eu lieu les 24 et 25 mars.
Le graphique montre l'heure coordonnée universelle UTC, j'habite à San Francisco, nous avions un autre 23 à cette époque, vous pouvez donc imaginer à quoi ressemblait mon dßner du 23 mars. Ils m'ont appelé et m'ont dit que l'attaque dépassait le plafond de 100 Gigabits, mais nous ne pensions pas que trÚs bientÎt nous pourrions voir quelque chose comme ça! Du coup, il y a eu 4 appels du fournisseur d'un de nos réseaux entrants et d'ingénieurs réseau que nous avons maintenant du trafic avec une intensité de plus de 300 Gb / s, ce qui atteint la limite des capacités de notre réseau.
Le graphique montre que du 24 au 25 mars, les taux d'attaque sont tombés à 90 Gb / s et ont augmenté à 300 Gb / s, provoquant un refus de desservir le trafic entrant de l'un de nos fournisseurs, dont la bande passante réseau était complÚtement épuisée.
La question est de savoir comment? Comment un pirate a-t-il réussi à faire cela si l'on sait que le plafond de l'équipement est de 100 gigabits? Comment ce gars de Londres, cet adolescent de 15 ans, a-t-il réussi à organiser une attaque aussi intense sans précédent?
Beaucoup de gens, y compris les mĂ©dias, ont exprimĂ© la fausse opinion selon laquelle un botnet est nĂ©cessaire pour une telle attaque. Mais dans ce cas particulier, il n'y avait pas de trafic rĂ©el provenant du rĂ©seau de botnet. D'autres personnes ont dit que Anonymous a fait cela parce qu'il y a beaucoup de gens dans cette communautĂ© qui sont coordonnĂ©s et peuvent travailler ensemble pour mettre en Ćuvre des attaques d'un certain type. Non, ça ne l'est pas. L'attaque a Ă©tĂ© menĂ©e par 3, peut-ĂȘtre 4 personnes, dont l'un Ă©tait un vĂ©ritable cerveau technique, mais trĂšs limitĂ© en termes de ressources et d'interprĂštes.
Beaucoup de gens pensaient qu'une telle attaque nĂ©cessitait des compĂ©tences techniques exceptionnelles. Je dirai que j'ai vu le code qui a provoquĂ© cette attaque, c'est environ 50 lignes en C, sans les en-tĂȘtes qui sont gĂ©nĂ©ralement inclus dans un tel exploit, donc c'est trĂšs peu d'informations.
Dans une seconde, je vais vous montrer comment lancer une telle attaque. Ce qui est vraiment nécessaire pour cela, c'est une liste de clients DNS ouverts, ou résolveurs DNS, plus tard je vous dirai ce que c'est. La deuxiÚme chose dont vous avez besoin est de quelques serveurs, ou simplement des ordinateurs de faible puissance, travaillant dans des réseaux qui permettent la substitution de l'IP source.
Ce sont les principaux composants pour mener une attaque, et si vous avez ces deux choses, comme il s'avĂšre, mĂȘme en trĂšs petite quantitĂ©, alors vous pouvez lancer une attaque trĂšs, trĂšs grande. Jusqu'Ă prĂ©sent, rien qui affaiblit de telles attaques n'a changĂ©, et c'est un peu effrayant.
Parlons des rĂ©solveurs DNS ouverts. Le DNS est un peu une petite page vierge pour Internet, c'est un systĂšme de mise en cache qui permet de rĂ©pondre aux requĂȘtes qui ont Ă©tĂ© envoyĂ©es au serveur.
Un résolveur DNS mal configuré, également appelé résolveur DNS ouvert, répond aux questions, peu importe qui le pose. Ce résolveur DNS «dissolu» répond à tous ceux qui le demandent. Cela fonctionne sans aucune restriction. Il n'a aucune restriction sur le nombre de demandes, ni sur qui recevoir les demandes.
Vous pouvez demander: «Et Google? AprÚs tout, il utilise un résolveur DNS ouvert! » Cependant, des organisations telles que Google font beaucoup pour limiter le nombre de demandes adressées aux résolveurs afin de rendre plus difficile le lancement d'attaques; elles limitent la taille des réponses qu'elles fournissent sur demande. La semaine derniÚre, les gars de Bind ont annoncé une nouvelle extension qui nous permet de définir une limite de vitesse pour les demandes, ce qui est exactement ce qui nous manque depuis longtemps. Parce que ce qui fait le plus peur, c'est que pour les attaques, des serveurs DNS ouverts faisant autorité sont de plus en plus utilisés.
Lors de toute attaque, le pirate cherche à le renforcer de toutes les maniÚres possibles, par exemple en utilisant un botnet. Si j'ai trÚs peu de ressources propres, je m'efforce de les utiliser pour créer des ressources supplémentaires. Lors d'une conférence BlackHat, il a été dit que le DDoS est une attaque parfaitement asymétrique, car un petit homme peut créer d'énormes problÚmes, et les résolveurs DNS ouverts le démontrent clairement.
Cette diapositive montre le raccourci clavier pour lancer une attaque via un terminal ou une console Windows.
Cette commande a été lancée à 2 heures du matin à partir du résolveur DNS public 63.217.84.76 exécuté sur le réseau PCCW. Si vous envoyez cette demande, le serveur vous répondra.
digANY est juste une requĂȘte DNS qui lance une recherche pour tout nom de domaine NS, isc. org signifie qu'ils voulaient vous montrer tous les types d'enregistrement DNS possibles, donc leur fichier DNS est Ă©norme, suivi de l'adresse IP du rĂ©solveur et de l'indicateur edns = 0, qui dit: «Donnez-moi tout, y compris dns.sec et bien d'autres types de drapeaux, que vous ne pouvez pas recevoir par dĂ©faut. L'indicateur notcp est un Ă©lĂ©ment important car il indique au rĂ©solveur de ne pas utiliser TCP pour Ă©changer des donnĂ©es, mais de les transmettre partout sur UDP, et bufsize dĂ©finit la taille du tampon sur 4096, c'est-Ă -dire s'efforce de rendre le tampon aussi grand que possible pour envoyer des paquets trĂšs "gras".
Donc, vous exécutez cette petite demande mignonne de 64 octets et obtenez ce qui s'exécute à l'écran en réponse. Autrement dit, sur une demande de 64 octets, vous obtenez une réponse de 3363 octets.
Donc, si vous parvenez à trouver un résolveur DNS ouvert, vous lui envoyez 64 octets et obtenez une réponse supérieure à 3300 octets. C'est ce que je veux dire quand je dis que vous pouvez utiliser de minuscules ressources pour créer un gros problÚme. Dans ce cas, nous obtenons un gain d'attaque de l'ordre de x50.
Cependant, l'amplification ne fonctionne pas par défaut, et si j'envoie une petite demande pour obtenir une réponse importante, je m'envoie simplement l'attaque DDoS. Par conséquent, le deuxiÚme composant obligatoire pour une telle attaque est un réseau qui permet d'usurper l'adresse IP source.
Autrement dit, j'essaie de prĂ©tendre qu'une requĂȘte DNS a Ă©tĂ© envoyĂ©e Ă partir d'une adresse IP Ă partir de laquelle elle n'a pas Ă©tĂ© envoyĂ©e. J'envoie un message au rĂ©solveur DNS, et comme UDP est un protocole «graver et oublier» sans poignĂ©e de main, aprĂšs avoir reçu la demande, il envoie simplement une rĂ©ponse Ă celui qui le considĂšre comme l'expĂ©diteur.
Les rĂ©seaux bien organisĂ©s ne le permettent pas, ils ne permettent pas que les paquets proviennent d'adresses IP qui n'appartiennent pas Ă ce rĂ©seau - ce sont des recommandations de BCP38. Lors de la crĂ©ation de rĂ©seaux, ces recommandations doivent ĂȘtre suivies par la plupart des fournisseurs Internet, mais certains rĂ©seaux ignorent cette rĂšgle.
Donc, si nous avons deux ingrédients nécessaires, alors comme UDP n'utilise pas de poignée de main, vous pouvez facilement remplacer l'adresse IP de la source de la demande. Pour attaquer Spamhaus, le DNS spécifique montré sur la diapositive a été utilisé et l'assurance que la connexion se fait via UDP, ce qui ne nécessite aucune poignée de main. Ensuite, les réponses de tous ces résolveurs DNS ouverts situés dans le monde entier sont renvoyées à votre ou à tout autre réseau cible.
Les effets secondaires de ces attaques DDoS se reflĂštent dans le support client, car des centaines de milliers de serveurs DNS ouverts sont impliquĂ©s dans cette attaque. Leurs utilisateurs suivent le chemin de l'adresse d'attaque 190.93.243.93, d'oĂč proviennent des tonnes de paquets qui infligent un coup dur Ă leur infrastructure, et commencent Ă vous bombarder d'appels en colĂšre comme «vous ne savez pas ce que vous faites, vous ne savez pas comment dĂ©marrer un rĂ©seau normal, vos ordinateurs piratĂ©, comment osez-vous m'attaquer! " et similaires. Et vous devez leur expliquer trĂšs poliment que ce sont eux qui vous attaquent rĂ©ellement, et ils en souffrent eux-mĂȘmes parce qu'ils n'ont pas correctement configurĂ© leur rĂ©solveur DNS, les rĂ©ponses aux requĂȘtes reviennent, et tout cela vous affecte finalement eux-mĂȘmes.
En fait, c'est l'occasion d'enseigner aux gens comment «nettoyer» leurs rĂ©seaux, et c'est l'aspect positif de ces attaques, car les gens ne rĂ©alisent pas qu'en raison d'une configuration incorrecte des serveurs DNS ouverts, cela se produit tout le temps, uniquement Ă petite Ă©chelle. Et seulement lorsque l'intensitĂ© des attaques augmente de maniĂšre significative, ils commencent Ă y prĂȘter attention.
Je pense que vous connaissez tous des types d'attaques aussi anciens que Smurf, oĂč vous utilisez des demandes de diffusion ICMP vers des routeurs via des routeurs et utilisez une usurpation de source, Ă la suite de quoi les ordinateurs rĂ©pondent Ă la victime de votre usurpation d'identitĂ©, obstruant les canaux de communication.
La bonne nouvelle est que l'industrie du routage a appris à gérer trÚs efficacement cette attaque. On les trouve encore, mais lancer une attaque Schtroumpf est assez difficile. Cependant, en général, les attaques de réponse de réflexion DNS sont trÚs faciles à organiser.
Quelle est la frĂ©quence de ces attaques? La diapositive suivante illustre le projet Open Resolver, qui est un produit assez rĂ©volutionnaire. Beaucoup de ceux qui sont ici prĂ©sents se demandent depuis longtemps s'il vaut la peine de publier une liste de tous les rĂ©solveurs DNS ouverts fonctionnant sur Internet sur le rĂ©seau. Le fait est que cette liste peut ĂȘtre utilisĂ©e Ă la fois par des «bons» afin qu'ils puissent pointer les clients vers des rĂ©seaux mal configurĂ©s et par des «mĂ©chants» qui peuvent l'utiliser pour organiser des attaques DoS.
Ce n'est pas un hasard si ce projet a été lancé lundi, aprÚs le week-end, au cours duquel nous avons enduré tout cet enfer. Ainsi, les plus grands fournisseurs Internet de premier niveau ont pu s'assurer que les «méchants» avaient cette liste depuis longtemps et vous devez donc commencer à la nettoyer en vous débarrassant des serveurs ouverts. Grùce à ce site, vous pouvez saisir la plage de vos adresses IP et vérifier si votre réseau dispose de résolveurs DNS ouverts. Ainsi, si PCCW le fait, ils peuvent effacer le réseau avant d'avoir des problÚmes. Nous avons impliqué les médias pour couvrir le rÎle de ce projet, afin que tous les fournisseurs soient informés de cette liste, car le nombre de résolveurs DNS ouverts utilisés sur Internet est de 28 millions. , 30, 40 50 , , , 21 , .
, â , . MIT, . , , 25% .
2013 , BCP 38 . , , IP-, . , 2002 , , â !
, - . , , , , China Telecom. DNS- . , , . , .
, Spamhaus. 24 309 / 28 . , , 300 / . , , , , Spamhous . , . , ? â 0,1% , ! 1%, 300-, 3- . 10% DNS-, 30- . , 3 , , 30- , . .
, , 3 , , , 5 7 . -, . 3 , .
25 , 287 / 72 . â 31154, . â .
, 1 , , . 5 7 , 3 , IP-, 9 /, 0,1% DNS-. 300 / DDoS-.
, , , , , .
, , . , - , , , , .
â , , , . , , , , , .
, , , , . , . , , 23 CloudFlare, 50. X-.
, , , . Anycast BGP DNS, Anycast. HTTP-, . , â , .
Anycast, . , Anycast , . , 23 - , IP-, , Spamhous. , 300 / , - , - 13 / .
, . , , . , , .
29:00
BLACK HAT. DDOS- 300 / . 2e partieMerci de rester avec nous. Aimez-vous nos articles? Vous voulez voir des matériaux plus intéressants? Soutenez-nous en passant une commande ou en le recommandant à vos amis, une
rĂ©duction de 30% pour les utilisateurs Habr sur un analogue unique de serveurs d'entrĂ©e de gamme que nous avons inventĂ©s pour vous: Toute la vĂ©ritĂ© sur VPS (KVM) E5-2650 v4 (6 cĆurs) 10 Go DDR4 240 Go SSD 1 Gbps Ă partir de 20 $ ou comment diviser le serveur? (les options sont disponibles avec RAID1 et RAID10, jusqu'Ă 24 cĆurs et jusqu'Ă 40 Go de DDR4).
VPS (KVM) E5-2650 v4 (6 cĆurs) 10 Go DDR4 240 Go SSD 1 Gbit / s jusqu'au printemps gratuitement lors du paiement pendant
six mois, vous pouvez commander
ici .
Dell R730xd 2 fois moins cher? Nous avons seulement
2 x Intel Dodeca-Core Xeon E5-2650v4 128 Go DDR4 6x480 Go SSD 1 Gbps 100 TV Ă partir de 249 $ aux Pays-Bas et aux Ătats-Unis! Pour en savoir plus sur la
création d'un bùtiment d'infrastructure. classe utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou?