Mal au DOS : Contre attaque et but

Dans les épisodes précédents, nous avons vu qu'il existait certaines parades aux attaques DDOS, reste à les déployer.

Une première approche est de mettre les systèmes de défense au plus près de la cible. L'avantage est qu'ils vont savoir très vite si il y a attaque. Peut être, même trop vite puisque qu'il y a de fortes chances de ne plus contrôler les défenses assez vite. De plus, il faut un déploiement spécifique pour chaque cible potentielle ou groupe.

Autre approche, au plus près de l'attaquant. Le problème est que bien souvent l'attaque est multi-sources, et couvrir toutes les sources est presque impossible. L'autre problème est que comme une source a un petit débit, il est difficile de déterminer s'il y a une attaque. La solution pourrait être alors de les mettre au milieu dans le cœur du réseau, par exemple sur les routeurs cœurs en contrôlant les AS (Autonomous Systems). Ces routeurs sont en général très utilisés, et par les débits gérés ne facilitent pas l'analyse de paquet. De plus, ces matériels supportant de très haut débits, ne vont pas forcément détecter une attaque, et une défense peut engendré des dommages collatéraux plus importants..

Alors que faire, bon dieu, mais c'est bien sûr... DDOS, cela veut dire attaque Distribuée... donc la défense se doit d'être distribuée pour être efficace. Si l'on dissémine les défenses on a plus de chance, d'abord de détecter l'attaque, puis de trouver une parade avec des dommages collatéraux minimales. Par exemple, la détection se fera au plus près d'une cible (au hasard le datacenter), et le remède devra se trouver dans le réseau. On pourra d'ailleurs dans ce cas utiliser la méthode du trou noir avec un « minimum » de pertes. Par exemple, garder le trafic provenant de France, et éliminer toutes les autres provenances (ceci reste un  exemple bien entendu)

 

 

Nicolas Jacquey
Philippe Maltere

_