RE: [FRnOG] Attaques contre Twitter Facebook
bonjour, pour rebondir sur le sujet des attaques Twitter Facebook, les équipes d'Interoute ont développé un baromètre Internet qui cartographie et identifie les adresses sources et les adresses cibles lors d'attaques malveillantes (par exemple DDOS...) ainsi que le type de menace. cet outil gratuit bien sur, il existe un site web http://barometer.interoute.com http://barometer.interoute.com Nous avons développé cet outil pour la sécurité de nos clients pour l'intégrité de notre réseau pour apporter notre contribution aux communautés Internet informatique Parce que nous devons tous collaborer pour réduire les risques. C'est aussi notre façon de montrer que l'industrie de la sécurité c'est plus que la crainte, l'incertitude et le doute. C'est aussi des action positives et de collaboration. Les réponses à vos questions se trouver là : http://barometer.interoute.com/barom_about.php http://barometer.interoute.com/barom_about.php Cordialement, Eric Eric Pernot Interoute France http://www.interoute.fr/ http://twitter.com/Interoutenews De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de marc celier Envoyé : vendredi 7 août 2009 15:12 À : David Amiel; Liste FRnoG Objet : Re: [FRnOG] Attaques contre Twitter Facebook un IDS ou un IPS ne serviraient pas a grand chose ici, quand il y a des millions de connexions qui arrivent en meme temps comment dissocier les connexions legitimes des connexions illegitimes, peut etre en s'appuyant sur le nombre de connexion provenant d'une adresse IP particuliere, mais lorsque l'attaque est repartie depuis des milliers de postes infectes, que faire. a ce niveau seule une operation concerte entre les operateur pourrait y venir a bout - Original Message - From: David Amiel Sent: 08/07/09 02:05 pm To: Liste FRnoG Subject: Re: [FRnOG] Attaques contre Twitter Facebook Le Jeu 6 août 2009 17:58, Jérémy Martin a écrit : Bonjour, Une attaque massive de type DDOS a été enregistré depuis 15h (heure française) sur Twitter qui a été rendu totalement ko. Facebook est également très lent ainsi que quelques gros portails ou sites bancaires depuis la même heure. Attaque DDOS orchestrée est-ce que l'on sait ce qu'utilise Twitter (ou les autres gros sites) pour se défendre contre ce genre d'attaques ? Cela fait quelque temps que je n'ai pas mis mon nez dans ce qui se fait côté IDS/IPS, mais les attaques de ce genre me paraissent difficiles à contrer David Cordialement, Jérémy Martin Responsable Technique Freeheberg.com Mail : j.mar...@freeheberg.com Web : http://www.freeheberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ image002.jpgimage008.jpg
Re: [FRnOG] Attaques contre Twitter Facebook
L'avantage de nos jours, c'est qu'il n'y a pas besoin de payer cher de la publicité, les médias le font pour nous en révélant, de manière sporadique, quelques événements de ce domaine. ex: Le JT TF1 d'hier soir http://www.ja-psi.fr/videos/JT_TF1_20090819.mp4 Eric Pernot a écrit : Nous avons développé cet outil pour la sécurité de nos clients pour l'intégrité de notre réseau pour apporter notre contribution aux communautés Internet informatique Parce que nous devons tous collaborer pour réduire les risques. C'est aussi notre façon de montrer que l'industrie de la sécurité c'est plus que la crainte, l'incertitude et le doute. C'est aussi des action positives et de collaboration. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
Jérémy Martin a écrit : Je vais peut être dire une connerie mais est ce que ça ne serait pas plus façile de moduler l'entrée au frontal avec un maximum de requêtes par secondes ? Généralement, une iP affiche 1 ou 2, parfois jusqu'à 5 pages en même temps. Au delà, la requête est filtré voire blacklisté pendant x minutes. Comme le module cban permet de le faire sur Apache. C'est ce que j'applique généralement sur mon réseau, ça marche plutôt bien, et je n'ai généralement qu'une seule plainte tous les 10 000 accès par des personnes qui veulent flooder la plupart du temps (donc la règle fonctionne). C'est comme çà que tu blacklist tout les Thaïlandais (vécu), AOL (vécu) ou que tes 30 employés n'accèdent plus à un site utile (pas vécu mais çà a bien du se produire une fois). -- Antoine MUSSO Architecte Réseau DISIT/ETU/ARC/ART tél. 02 40 12 73 62 Post-scriptum La Poste Ce message est confidentiel. Sous réserve de tout accord conclu par écrit entre vous et La Poste, son contenu ne représente en aucun cas un engagement de la part de La Poste. Toute publication, utilisation ou diffusion, même partielle, doit être autorisée préalablement. Si vous n'êtes pas destinataire de ce message, merci d'en avertir immédiatement l'expéditeur.
Re: [FRnOG] Attaques contre Twitter Facebook
Comme le module cban permet de le faire sur Apache A partir du moment ou la requete arrive a apache, tu as deja perdu dans la plupart des cas. de moduler l'entrée au frontal avec un maximum de requêtes par secondes ?. Imagine une ecole avec 30 ecoliers derriere un nat ... tu viens juste de leur bloquer le site qu'on leur demande de visiter :D Activer syncookie est toujours une solution pour contrer une petite attaque de type syn flood. En parrallele avec glflow, haproxy peut etre utilise pour filter le traffic aussi - en forcant le client a renvoyer un cookie avant de passer la requete [1] et filter les requetes sans User Agent. Thomas [1] http://www.mail-archive.com/hapr...@formilux.org/msg00288.html--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
Quelqu'un de la liste a t-il connaissance de ce genre d'opérations entre opérateurs afin de bloquer le trafic avant qu'il atteigne sa cible, ou au moins un SLA avec son FAI ou l'opérateur internet de son hébergeur ? Je me souviens d'une discussion entre un T1 et un grand nom de la protection DDOS. Le T1 demandait ce qu'il pouvait faire pour aider leur client a filter le traffic. La seule reponse etait : assurez vous pour que le traffic nous arrive, ce qui voulait dire que meme avec leur niveau de connectivite en dizaine de GB entre multiple T1 (et c'etait en 2005) les T1 devaient parfois null router le traffic pour proteger leurs infras. Un post de blog (une fois n'est pas coutûme) qui est bien foutu sur le sujet: http://www.blyon.com/blog/index.php/2009/08/06/twitters-hosting-illustrated-fckyeahboobies-com/ Y'a une boîte, Prolexic, qui était à l'époque spécialisée dans la dilution d'attaques DDoS via anycast, que justement le mec de ce blog avait monté. Lyon est un des fondateurs[1] de Prolexic ce qui explique peut-etre que son entree blog sur le sujet soit peut-etre bien-foutu :D. Un article interessant sur le volume des DDOS que Prolexic filtre [2] Thomas [1] http://www.blyon.com/companies.php?company=prolexic [2] https://www.linx.net/files/hotlinx/hotlinx-17.pdf --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
Bonjour, Une attaque DDoS de type SYN flood n'a pas pour seul but de saturer les tuyaux, mais a aussi pour but de saturer les capacités de processing de équipements en frontal, en particulier les Firewalls. Impossible, les firewalls sont des objets réseaux bien trop fragiles pour faire quoi que ce soit contre un DDoS. De plus, ils ne servent à rien devant une ferme de serveurs web (où seul le port 80 est en écoute). Dans le monde du web (à fort volume), soit on place les firewalls derrière la ligne web, soit on n'en met aucuns (c'est le cas chez beaucoup d'acteurs du web 2.0) pour plusieurs raisons (coût à fort volume, débit limité (10G vraiment supporté encore rare), mauvaises capacités en Mpps, utilité sur un réseau bien conçu (firewall host-based + ACLs) et surtout... lenteur). De même chez certains gros, les load-balancers traditionnels sont aussi un souvenir de l'ancien temps (anycast/LB applicatif (cloud stuff)), mais je m'égare :) On peut très bien traiter les DDoS quand on est équipé du matériel (chère) adéquat, c'est uniquement une question de gros sous (enfin pas si gros si ca couvre une ou deux journées de bénéfices perdus (ce qui ne devrait pas arriver avant longtemps chez twitter :), mais c'est un autre débat.)). Il existe 2 types principaux d'attaques DDoS : - contre l'infrastructure (DNS, routeurs (Mpps), taille des tuyaux), ce sont les plus difficiles à maitriser - contre le service (les plus faciles à filtrer) Les technos de filtrage DDoS sont en développement et au point (pour un grand nombre d'entre elles) depuis 2001 (Arbor, Prolexic et River Guard devenu Cisco Guard puis Cisco Anomaly Guard). Il existe deux types de sondes de détection de DDoS : - Layer 4 : Arbor Networks, Prolexic... - Layer 4/7 : Sondes Cisco Anomaly Detector abusivement appelées IDS Ensuite pour le filtrage Layer 7 il y a Prolexic et Cisco Anomaly Guard. Ensuite il n'existe que peu de contre-mesures (mais ce qui compte c'est le résultat) : - DNS/BGP : si l'attaque est contre l'IP du site, changer le DNS vers un IP sur un autre prefix et dropper le prefix attaquer (technique utilisée dans le monde des serveurs IRC)... l'avantage de cette technique c'est qu'elle nécessite aucun système de détection/mitigation des DDoS, il suffit de voir qu'on est attaqué pour agir, l'inconvénient c'est le cache DNS (d'où les TTL bas qu'on peut observer sur les gros sites)... - ACL : dès que l'on sait d'où viennent les attaques, on peut alors manuellement filtrer les prefix sources (ou scripter la chose) et prévenir les fournisseurs de transit (qui filtreront à leur tour) - Automatisé : c'est le principe du système Cisco Anomaly Guard et Prolexic, les sondes disent aux guards quels sont les prefix à nettoyer et un système de tunnel GRE et d'injection de routes permet de dériver la partie du trafic à nettoyer Le Nettoyage est fonction du protocole, par exemple pour HTTP, le plus souvent, le guard fait un HTTP 302 redirect vers l'URL demandée (avec un Set-Cookie unique ou une modification de la query string, pour que la seconde requête soit repérée comme clean), un outil de DDoS HTTP ne lisant pas les réponses, seuls les browsers valides qui font partie du prefix filtré vont avoir accès au site, les autres requêtes (le DDoS) seront droppées. Dans ces boitiers, il existe plusieurs centaines de contre-mesures de ce type sélectionnées automatiquement en fonction du type d'attaque et du protocole. Enfin, pour les GNUs, il existe tout de même une solution FLOSS direct from Romania (comme on dit dans le milieu du DDoS :)), capable de fonctionner sur du 10G avec du matériel actuel (PC en 55xx) : http://glflow.sourceforge.net/ C'est en production devant un serveur qui prend régulièrement de gros DDoS (a la twitter) et des dizaines de Mpps, sans trop broncher (mais le service est moins critique aussi :)). Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
Le Sat, 08 Aug 2009 13:29:59 +0200, Philippe Bourcier phili...@frnog.org a écrit : Enfin, pour les GNUs, il existe tout de même une solution FLOSS direct from Romania (comme on dit dans le milieu du DDoS :)), capable de fonctionner sur du 10G avec du matériel actuel (PC en 55xx) : http://glflow.sourceforge.net/ C'est en production devant un serveur qui prend régulièrement de gros DDoS (a la twitter) et des dizaines de Mpps, sans trop broncher (mais le service est moins critique aussi :)). C'est en production et entre tes mains pour l'exemple que tu cites ? a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D pgpX69iki1Ps2.pgp Description: PGP signature
Re: [FRnOG] Attaques contre Twitter Facebook
On Aug 7, 2009, at 3:59 PM, Jipe wrote: marc celier a écrit : un IDS ou un IPS ne serviraient pas a grand chose ici, quand il y a des millions de connexions qui arrivent en meme temps comment dissocier les connexions legitimes des connexions illegitimes, peut etre en s'appuyant sur le nombre de connexion provenant d'une adresse IP particuliere, mais lorsque l'attaque est repartie depuis des milliers de postes infectes, que faire. a ce niveau seule une operation concerte entre les operateur pourrait y venir a bout Quelqu'un de la liste a t-il connaissance de ce genre d'opérations entre opérateurs afin de bloquer le trafic avant qu'il atteigne sa cible, ou au moins un SLA avec son FAI ou l'opérateur internet de son hébergeur ? -- Jipe Un post de blog (une fois n'est pas coutûme) qui est bien foutu sur le sujet: http://www.blyon.com/blog/index.php/2009/08/06/twitters-hosting-illustrated-fckyeahboobies-com/ Y'a une boîte, Prolexic, qui était à l'époque spécialisée dans la dilution d'attaques DDoS via anycast, que justement le mec de ce blog avait monté. Greg VILLAIN--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Attaques contre Twitter Facebook
2009/8/7 cra c...@snaiso.com Bonjour. Une attaque DDoS de type SYN flood n'a pas pour seul but de saturer les tuyaux, mais a aussi pour but de saturer les capacités de processing de équipements en frontal, en particulier les Firewalls. Une solution envisageable est de mettre avant le Firewall un équipement dont le seul travail sera de fonctionner en tant que proxy TCP transparent. Le but est de ne pas forwarder de SYN vers le Firewall, d'envoyer un SYN ACK au client et de ne forwarder l'ensemble que lorsque le ACK final arrive. Par conséquent, les équipements du reste du réseaux ne doivent plus traiter que les sessions légitimes. Peut être faudrait il se poser la question de l'intérêt d'empiler des équipements de sécurité s'il faut eux même les protéger. Pourquoi pas un IPS qui protège le load balancer qui protège le firewall qui protège le reverse proxy firewall applicatif qui protège ... (rajouter votre équipement favori) ... les serveurs ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
Je vais peut être dire une connerie mais est ce que ça ne serait pas plus façile de moduler l'entrée au frontal avec un maximum de requêtes par secondes ? Généralement, une iP affiche 1 ou 2, parfois jusqu'à 5 pages en même temps. Au delà, la requête est filtré voire blacklisté pendant x minutes. Comme le module cban permet de le faire sur Apache. C'est ce que j'applique généralement sur mon réseau, ça marche plutôt bien, et je n'ai généralement qu'une seule plainte tous les 10 000 accès par des personnes qui veulent flooder la plupart du temps (donc la règle fonctionne). Ca ne résoud pas le problème du tuyau, ça peut même engorger le CPU, mais ces deux points peuvent facilement être résolut. Cordialement, Jérémy Martin Responsable Technique Freeheberg.com Mail : j.mar...@freeheberg.com Web : http://www.freeheberg.com Sidney Boumendil a écrit : 2009/8/7 cra c...@snaiso.com Bonjour. Une attaque DDoS de type SYN flood n'a pas pour seul but de saturer les tuyaux, mais a aussi pour but de saturer les capacités de processing de équipements en frontal, en particulier les Firewalls. Une solution envisageable est de mettre avant le Firewall un équipement dont le seul travail sera de fonctionner en tant que proxy TCP transparent. Le but est de ne pas forwarder de SYN vers le Firewall, d'envoyer un SYN ACK au client et de ne forwarder l'ensemble que lorsque le ACK final arrive. Par conséquent, les équipements du reste du réseaux ne doivent plus traiter que les sessions légitimes. Peut être faudrait il se poser la question de l'intérêt d'empiler des équipements de sécurité s'il faut eux même les protéger. Pourquoi pas un IPS qui protège le load balancer qui protège le firewall qui protège le reverse proxy firewall applicatif qui protège ... (rajouter votre équipement favori) ... les serveurs ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
Le Thu, Aug 06, 2009 at 06:06:14PM +0200, Jérémy Martin racontait : Par contre, Facebook a été indispo pendant près d'1 heure cet après midi, OMG ! J'espère qu'il n'y a pas eu trop de victimes... -- Quand l'infini... l'autre commence. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
Le Jeu 6 août 2009 17:58, Jérémy Martin a écrit : Bonjour, Une attaque massive de type DDOS a été enregistré depuis 15h (heure française) sur Twitter qui a été rendu totalement ko. Facebook est également très lent ainsi que quelques gros portails ou sites bancaires depuis la même heure. Attaque DDOS orchestrée est-ce que l'on sait ce qu'utilise Twitter (ou les autres gros sites) pour se défendre contre ce genre d'attaques ? Cela fait quelque temps que je n'ai pas mis mon nez dans ce qui se fait côté IDS/IPS, mais les attaques de ce genre me paraissent difficiles à contrer David Cordialement, Jérémy Martin Responsable Technique Freeheberg.com Mail : j.mar...@freeheberg.com Web : http://www.freeheberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
Re: [FRnOG] Attaques contre Twitter Facebook
Pendant ces indisponibilités twitter-facebook, la productivité n'a jamais été aussi grande ^^ On 07/08/09 14:47, Guénolé Saurel g...@mailfr.com wrote: Le Thu, Aug 06, 2009 at 06:06:14PM +0200, Jérémy Martin racontait : Par contre, Facebook a été indispo pendant près d'1 heure cet après midi, OMG ! J'espère qu'il n'y a pas eu trop de victimes... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
marc celier a écrit : un IDS ou un IPS ne serviraient pas a grand chose ici, quand il y a des millions de connexions qui arrivent en meme temps comment dissocier les connexions legitimes des connexions illegitimes, peut etre en s'appuyant sur le nombre de connexion provenant d'une adresse IP particuliere, mais lorsque l'attaque est repartie depuis des milliers de postes infectes, que faire. a ce niveau seule une operation concerte entre les operateur pourrait y venir a bout Quelqu'un de la liste a t-il connaissance de ce genre d'opérations entre opérateurs afin de bloquer le trafic avant qu'il atteigne sa cible, ou au moins un SLA avec son FAI ou l'opérateur internet de son hébergeur ? -- Jipe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
c'est l'objet de ma question :) on est d'accord qu'une approche classique (ACL, QOS ou autre) est inopérante pour ce genre de problème. Pourtant il doit bien y avoir des solutions qui fonctionnent, je n'ose pas croire que les gros sites tiennent le coup juste en ayant des tuyaux (et serveurs) suffisamment dimensionnés pour absorber l'onde de choc. Il y a 2 ans j'avais eu une présentation de la société Beeware qui avait greffé un réseau de neurones ( artificiels ;) ) à un pare-feu pour qu'il puisse détecter de façon autonome les attaques. L'approche me paraissait intéressante mais je n'avais pas eu le temps d'essayer le produit en situation réelle. Du coup je me demandais si cette technique avait fait ses preuves ? Ou alors un peu dans le même style l'approche pare-feu + moteur de corrélation pourrait être une autre approche. David Amiel Le Ven 7 août 2009 15:12, marc celier a écrit : un IDS ou un IPS ne serviraient pas a grand chose ici, quand il y a des millions de connexions qui arrivent en meme temps comment dissocier les connexions legitimes des connexions illegitimes, peut etre en s'appuyant sur le nombre de connexion provenant d'une adresse IP particuliere, mais lorsque l'attaque est repartie depuis des milliers de postes infectes, que faire. a ce niveau seule une operation concerte entre les operateur pourrait y venir a bout - Original Message - From: David Amiel Sent: 08/07/09 02:05 pm To: Liste FRnoG Subject: Re: [FRnOG] Attaques contre Twitter Facebook Le Jeu 6 août 2009 17:58, Jérémy Martin a écrit : Bonjour, Une attaque massive de type DDOS a été enregistré depuis 15h (heure française) sur Twitter qui a été rendu totalement ko. Facebook est également très lent ainsi que quelques gros portails ou sites bancaires depuis la même heure. Attaque DDOS orchestrée est-ce que l'on sait ce qu'utilise Twitter (ou les autres gros sites) pour se défendre contre ce genre d'attaques ? Cela fait quelque temps que je n'ai pas mis mon nez dans ce qui se fait côté IDS/IPS, mais les attaques de ce genre me paraissent difficiles à contrer David Cordialement, Jérémy Martin Responsable Technique Freeheberg.com Mail : j.mar...@freeheberg.com Web : http://www.freeheberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
Il y a des load balancer qui permettent de vérifier le SYN, SYN/ACK, ACK avant d'autoriser la connexion sur un serveur réel. Cela peut résoudre une partie de la problématique. Fabien Le 7 août 09 à 16:15, David Amiel a écrit : c'est l'objet de ma question :) on est d'accord qu'une approche classique (ACL, QOS ou autre) est inopérante pour ce genre de problème. Pourtant il doit bien y avoir des solutions qui fonctionnent, je n'ose pas croire que les gros sites tiennent le coup juste en ayant des tuyaux (et serveurs) suffisamment dimensionnés pour absorber l'onde de choc. Il y a 2 ans j'avais eu une présentation de la société Beeware qui avait greffé un réseau de neurones ( artificiels ;) ) à un pare-feu pour qu'il puisse détecter de façon autonome les attaques. L'approche me paraissait intéressante mais je n'avais pas eu le temps d'essayer le produit en situation réelle. Du coup je me demandais si cette technique avait fait ses preuves ? Ou alors un peu dans le même style l'approche pare-feu + moteur de corrélation pourrait être une autre approche. David Amiel Le Ven 7 août 2009 15:12, marc celier a écrit : un IDS ou un IPS ne serviraient pas a grand chose ici, quand il y a des millions de connexions qui arrivent en meme temps comment dissocier les connexions legitimes des connexions illegitimes, peut etre en s'appuyant sur le nombre de connexion provenant d'une adresse IP particuliere, mais lorsque l'attaque est repartie depuis des milliers de postes infectes, que faire. a ce niveau seule une operation concerte entre les operateur pourrait y venir a bout - Original Message - From: David Amiel Sent: 08/07/09 02:05 pm To: Liste FRnoG Subject: Re: [FRnOG] Attaques contre Twitter Facebook Le Jeu 6 août 2009 17:58, Jérémy Martin a écrit : Bonjour, Une attaque massive de type DDOS a été enregistré depuis 15h (heure française) sur Twitter qui a été rendu totalement ko. Facebook est également très lent ainsi que quelques gros portails ou sites bancaires depuis la même heure. Attaque DDOS orchestrée est-ce que l'on sait ce qu'utilise Twitter (ou les autres gros sites) pour se défendre contre ce genre d'attaques ? Cela fait quelque temps que je n'ai pas mis mon nez dans ce qui se fait côté IDS/IPS, mais les attaques de ce genre me paraissent difficiles à contrer David Cordialement, Jérémy Martin Responsable Technique Freeheberg.com Mail : j.mar...@freeheberg.com Web : http://www.freeheberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
Le 7 août 2009 16:15, David Amielda...@lesamiel.fr a écrit : c'est l'objet de ma question :) on est d'accord qu'une approche classique (ACL, QOS ou autre) est inopérante pour ce genre de problème. Pourtant il doit bien y avoir des solutions qui fonctionnent, je n'ose pas croire que les gros sites tiennent le coup juste en ayant des tuyaux (et serveurs) suffisamment dimensionnés pour absorber l'onde de choc. Ca parait évident, mais il semble bon de le rappeler : plus le DDoS est ressemblant avec un trafic normal, c'est à dire des requêtes et séries de requêtes susceptibles d'être celles d'une utilisation normale du service, moins il est possible de détecter l'anomalie. Donc plus on cherchera à détecter les flots de requêtes anormales, plus celles ci se feront discrètes mais tout aussi efficaces. La course à l'armement peut faire claquer des millions en IPS/IDS, le contournement est toujours trop simple pour que ça tienne bien longtemps face à quelqu'un de résolu. Il y a 2 ans j'avais eu une présentation de la société Beeware qui avait greffé un réseau de neurones ( artificiels ;) ) à un pare-feu pour qu'il puisse détecter de façon autonome les attaques. L'approche me paraissait intéressante mais je n'avais pas eu le temps d'essayer le produit en situation réelle. Du coup je me demandais si cette technique avait fait ses preuves ? FOUTAISES ! Réseaux de neurones, IA, c'est tout juste bon pour le marketing. Reconnaître par quelque astuce algorithmique que ce soit des motifs de requêtes qui se répètent trop pour être légitimes, ça ne marchera de toute façon qu'un temps, et cet équipement en particulier suffira a parer à des attaques simples et aveugles, jamais à de l'artillerie lourde intelligemment conçue. Ou alors un peu dans le même style l'approche pare-feu + moteur de corrélation pourrait être une autre approche. David Amiel En fait, intercaler de l'intéligence sur le réseau en amont des serveurs, ça ne sert tout simplement à rien, ça pourra toujours finir par être trompé, et ce serait avantageusement remplacé par une approche pragmatique et intelligente d'optimisation du serveur d'application. Considérer une telle attaque comme un sinistre, et prévoir un PCA qui va augmenter ponctuellement la capacité de la plate-forme, tout en utilisant une architecture logicielle qui permette de suivre la croissance de performances (tpm) proportionnellement à la taille des grappes en service, c'est possible, et finalement pas si complexe quand l'applicatif est bien maîtrisé. Détecter les requêtes anormales, ou les flux de telles requêtes, ça ne se fera jamais aussi bien que par l'application elle même. Un IDS ne connaît pas les spécificité du service, il va travailler en aveugle. Implémenter par contre un mécanisme similaire à la détection de fraude qui repérera et isolera les comportements utilisateurs anormaux (enchaînement de pages trop rapide ou non logique par exemple), c'est une approche suffisante et bien plus pertinente ! Ca demande par contre de se poser et de réfléchir un peu à ce qu'on fait... Payer whatmille USD ne suffira pas à régler le problème. -- Jérôme Nicolle --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
D'après http://www.infos-du-net.com/actualite/15848-attaques-piratage-blogueur.html#xtor=RSS-20 , et les déclarations de Max Kelly (RSI Facebook), il s'agit d'une attaque ciblée contre un bloggueur géorgien, directement lié au conflit en cours là bas. Si la motivation est d'ordre politique, et que l'attaque relève de la guerre électronique, pensez vous vraiment que des IDS quels qu'ils soient suffiront à arrêter ce genre d'attaques ?!? Ce que je constate surtout c'est une fois de plus la dangerosité de la centralisation des services. Il a suffit d'un utilisateur ciblé sur ces plate-formes pour qu'elles s'écroulent. Si ce genre de pratique venait à se généraliser, pensez vous que les facebook, twitter co. puissent être disponibles de temps en temps ? Je pense qu'il va y avoir un sacré travail de sécurisation chez eux, au niveau applicatif, et que les cibles potentielles de ce genre d'attaques auraient intérêt à ne pas faire confiance à ce genre de services, pour qui il sera toujours plus simple de supprimer des comptes à risque que de sécuriser correctement leurs plate-formes. -- Jérôme Nicolle --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
Jipe, Quelqu'un de la liste a t-il connaissance de ce genre d'opérations entre opérateurs afin de bloquer le trafic avant qu'il atteigne sa cible, ou au moins un SLA avec son FAI ou l'opérateur internet de son hébergeur ? J'ai connaissance d'une liste sur invitation pour les IRT d'ASN. Comme il faut que 2/3 personnes deja sur la liste valide ta demande d'entree, demande au gens que tu connais si tu penses que tu devrais y etre. Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
2009/8/7 Fabien Delmotte fdelmot...@mac.com Il y a des load balancer qui permettent de vérifier le SYN, SYN/ACK, ACK avant d'autoriser la connexion sur un serveur réel. Cela peut résoudre une partie de la problématique. Malheureusement, non. Les botnets génèrent du trafic parfaitement légitime ie 3 way hand check qui sera accepté par un load balancer ou un firewall puis une requête sur un service. En UDP c'est encore plus simple bien sur. Et puisque les load balancers, firewalls et autres ids/ips sont des équipements stateful, ils présentent une limitation en terme de sessions simultanées qu'ils peuvent traiter (maintien d'un état des sessions TCP et pseudo sessions UDP). Dans le cas d'un ddos de cet ampleur cette valeur est largement dépassée, ils deviennent donc l'élément dimensionnant (après ça sera le nombre de PPS que tes switchs et routeurs vont supporter).
Re: [FRnOG] Attaques contre Twitter Facebook
Effectivement si le botnet est capable de faire le 3 handshake . problème Les Load Balancer que j'ai testé sont efficaces sur des TCP SYN, même sous forte charge, le hardware est dédié (FPGA principalement). A ma connaissance (qui est limitée) les FW et les IDS ne sont pas taillés pour ce travail très voir trop spécifique. Fabien Le 7 août 09 à 17:51, Sidney Boumendil a écrit : 2009/8/7 Fabien Delmotte fdelmot...@mac.com Il y a des load balancer qui permettent de vérifier le SYN, SYN/ACK, ACK avant d'autoriser la connexion sur un serveur réel. Cela peut résoudre une partie de la problématique. Malheureusement, non. Les botnets génèrent du trafic parfaitement légitime ie 3 way hand check qui sera accepté par un load balancer ou un firewall puis une requête sur un service. En UDP c'est encore plus simple bien sur. Et puisque les load balancers, firewalls et autres ids/ips sont des équipements stateful, ils présentent une limitation en terme de sessions simultanées qu'ils peuvent traiter (maintien d'un état des sessions TCP et pseudo sessions UDP). Dans le cas d'un ddos de cet ampleur cette valeur est largement dépassée, ils deviennent donc l'élément dimensionnant (après ça sera le nombre de PPS que tes switchs et routeurs vont supporter).
Re: [FRnOG] Attaques contre Twitter Facebook
Spam invitant à consulter twitter + dns + zombie Pour s'informer et participer: http://www.twitter.com :) Le jeudi 06 août 2009 à 17:58 +0200, Jérémy Martin a écrit : Bonjour, Une attaque massive de type DDOS a été enregistré depuis 15h (heure française) sur Twitter qui a été rendu totalement ko. Facebook est également très lent ainsi que quelques gros portails ou sites bancaires depuis la même heure. Attaque DDOS orchestrée ou soucis réseau sur un gros tuyau ? Quel qu'un a des infos ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
Si nos confrères de nanog remarquent des ralentissements concernant Facebook outre-Atlantique (et en Irlande apparemment), ce n'est pas le cas de là où je suis (région parisienne). Ce n'est pas la première fois que Twitter flambe. http://status.twitter.com/ Jérémy Martin a écrit : Bonjour, Une attaque massive de type DDOS a été enregistré depuis 15h (heure française) sur Twitter qui a été rendu totalement ko. Facebook est également très lent ainsi que quelques gros portails ou sites bancaires depuis la même heure. Attaque DDOS orchestrée ou soucis réseau sur un gros tuyau ? Quel qu'un a des infos ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
tout ici: http://status.twitter.com/ Le jeudi 06 août 2009 à 18:03 +0200, Frédéric a écrit : Spam invitant à consulter twitter + dns + zombie Pour s'informer et participer: http://www.twitter.com :) Le jeudi 06 août 2009 à 17:58 +0200, Jérémy Martin a écrit : Bonjour, Une attaque massive de type DDOS a été enregistré depuis 15h (heure française) sur Twitter qui a été rendu totalement ko. Facebook est également très lent ainsi que quelques gros portails ou sites bancaires depuis la même heure. Attaque DDOS orchestrée ou soucis réseau sur un gros tuyau ? Quel qu'un a des infos ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaques contre Twitter Facebook
Oui, j'ai lu la page de status. Par contre, Facebook a été indispo pendant près d'1 heure cet après midi, ça va mieux maintenant. L'actu qui détaille les deux incidents : http://www.pcinpact.com/actu/news_multi/52387.htm Difficile de savoir qui est dérrière cette énième attaque... Cordialement, Jérémy Martin Responsable Technique Freeheberg.com Mail : j.mar...@freeheberg.com Web : http://www.freeheberg.com Frédéric a écrit : Spam invitant à consulter twitter + dns + zombie Pour s'informer et participer: http://www.twitter.com :) Le jeudi 06 août 2009 à 17:58 +0200, Jérémy Martin a écrit : Bonjour, Une attaque massive de type DDOS a été enregistré depuis 15h (heure française) sur Twitter qui a été rendu totalement ko. Facebook est également très lent ainsi que quelques gros portails ou sites bancaires depuis la même heure. Attaque DDOS orchestrée ou soucis réseau sur un gros tuyau ? Quel qu'un a des infos ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/