Bonjour,
Une attaque DDoS de type SYN flood n'a pas pour seul but de saturer les tuyaux, mais a aussi pour but de saturer les capacités de processing de équipements en frontal, en particulier les Firewalls.
Impossible, les firewalls sont des objets réseaux bien trop fragiles pour faire quoi que ce soit contre un DDoS. De plus, ils ne servent à rien devant une ferme de serveurs web (où seul le port 80 est en écoute). Dans le monde du web (à fort volume), soit on place les firewalls derrière la ligne web, soit on n'en met aucuns (c'est le cas chez beaucoup d'acteurs du web 2.0) pour plusieurs raisons (coût à fort volume, débit limité (10G vraiment supporté encore rare), mauvaises capacités en Mpps, utilité sur un réseau bien conçu (firewall host-based + ACLs) et surtout... lenteur). De même chez certains gros, les load-balancers "traditionnels" sont aussi un souvenir de l'ancien temps (anycast/LB applicatif (cloud stuff)), mais je m'égare :) On peut très bien traiter les DDoS quand on est équipé du matériel (chère) adéquat, c'est uniquement une question de gros sous (enfin pas si gros si ca couvre une ou deux journées de bénéfices perdus (ce qui ne devrait pas arriver avant longtemps chez twitter :), mais c'est un autre débat.)). Il existe 2 types principaux d'attaques DDoS : - contre l'infrastructure (DNS, routeurs (Mpps), taille des tuyaux), ce sont les plus difficiles à maitriser - contre le service (les plus faciles à filtrer) Les technos de filtrage DDoS sont en développement et au point (pour un grand nombre d'entre elles) depuis 2001 (Arbor, Prolexic et River Guard devenu Cisco Guard puis Cisco Anomaly Guard). Il existe deux types de sondes de détection de DDoS : - Layer 4 : Arbor Networks, Prolexic... - Layer 4/7 : Sondes Cisco Anomaly Detector abusivement appelées IDS Ensuite pour le filtrage Layer 7 il y a Prolexic et Cisco Anomaly Guard. Ensuite il n'existe que peu de contre-mesures (mais ce qui compte c'est le résultat) : - DNS/BGP : si l'attaque est contre l'IP du site, changer le DNS vers un IP sur un autre prefix et dropper le prefix attaquer (technique utilisée dans le monde des serveurs IRC)... l'avantage de cette technique c'est qu'elle nécessite aucun système de détection/mitigation des DDoS, il suffit de voir qu'on est attaqué pour agir, l'inconvénient c'est le cache DNS (d'où les TTL bas qu'on peut observer sur les gros sites)... - ACL : dès que l'on sait d'où viennent les attaques, on peut alors manuellement filtrer les prefix sources (ou scripter la chose) et prévenir les fournisseurs de transit (qui filtreront à leur tour) - Automatisé : c'est le principe du système Cisco Anomaly Guard et Prolexic, les sondes disent aux guards quels sont les prefix à "nettoyer" et un système de tunnel GRE et d'injection de routes permet de dériver la partie du trafic à nettoyer Le Nettoyage est fonction du protocole, par exemple pour HTTP, le plus souvent, le guard fait un HTTP 302 redirect vers l'URL demandée (avec un Set-Cookie unique ou une modification de la query string, pour que la seconde requête soit repérée comme "clean"), un outil de DDoS HTTP ne lisant pas les réponses, seuls les browsers "valides" qui font partie du prefix filtré vont avoir accès au site, les autres requêtes (le DDoS) seront droppées. Dans ces boitiers, il existe plusieurs centaines de contre-mesures de ce type sélectionnées automatiquement en fonction du type d'attaque et du protocole. Enfin, pour les GNUs, il existe tout de même une solution FLOSS "direct from Romania" (comme on dit dans le milieu du DDoS :)), capable de fonctionner sur du 10G avec du matériel actuel (PC en 55xx) : http://glflow.sourceforge.net/ C'est en production devant un serveur qui prend régulièrement de gros DDoS (a la twitter) et des dizaines de Mpps, sans trop broncher (mais le service est moins "critique" aussi :)). Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
