FRnOG 38 - Jérôme Meyer : DDoS Update / Fear the botnet
#FRnOG #DDoS #network
#FRnOG #DDoS #network
Category
🤖
TechnologieTranscription
00:00 Bonjour à tous et à toutes, je m'appelle Jérôme Meyer,
00:03 et je vais rester un peu sur le thème des titres qui sont basés sur Star Wars.
00:07 On va changer un petit peu de sujet, on va parler un peu de botnet d'Eidos.
00:11 Juste pour me présenter un petit peu rapidement,
00:14 je travaille pour Nokia, et plus spécifiquement pour Nokia Deep Field,
00:17 qui est un produit d'analyse et de protection d'Eidos.
00:21 Je résiderai un peu plus tard dans la présentation,
00:24 mais je reviens de 20 ans à peu près en Asie,
00:26 donc plutôt cette année en France.
00:28 Et je parlerai un petit peu du retour d'expérience sur le DDoS,
00:31 surtout le DDoS sortant, qu'on commence à voir aussi en Europe et ailleurs.
00:35 Tout d'abord, au niveau de ce qu'on voit, au niveau des chiffres du DDoS à travers le monde,
00:42 vous avez dû voir une version de ce graph à un moment,
00:47 que ce soit en termes de pics, d'attaques, en termes de volume total de trafic pour DDoS,
00:54 ou aussi du nombre d'attaques individuelles.
00:59 Donc les chiffres pour DDoS ne cessent de croire de manière exponentielle,
01:05 et vraiment c'est quelque chose qui se passe malgré les milliards d'euros
01:09 qui sont investis chaque année dans la protection d'Eidos.
01:12 Aujourd'hui, grosso modo, le DDoS est un marché de 4 milliards d'euros par an,
01:17 qui est toujours en croissance,
01:19 mais voilà, ça ne suffit pas, enfin on ne peut pas dépenser pour vraiment adresser le sujet de manière pérenne.
01:26 Donc ce qu'on voit aussi comme action pour remédier au DDoS,
01:32 c'est des actions par exemple telles qu'il s'est passé à la fin de l'an dernier,
01:36 avec une action coordonnée entre Europol et l'EFBI par exemple,
01:40 pour saisir des sites qui mettent à disposition du DDoS commercial,
01:45 ce qu'on appelle des "booters" ou des "stressers".
01:47 Une cinquantaine de sites ont été saisis de cette manière-là,
01:51 et ça a permis, au moins temporairement, de réduire un peu l'activité des DDoS.
01:55 On voit que ça commence à redémarrer, donc on voit des sites qui se mettent en place
02:00 pour combler un peu le vide qui a été créé par cette action.
02:04 Donc, c'est certes, on va dire, apporter une réponse un peu temporaire,
02:09 mais ça n'est pas non plus la panacée, puisqu'on voit, l'activité reprend,
02:13 et on voit des nouveaux acteurs prendre le relais.
02:17 Ce qui est la grosse différence par rapport à il y a quelques années,
02:21 donc pendant en gros deux décennies, le DDoS était principalement à base de sources de trafic spouffé,
02:29 donc du trafic qui venait d'un nombre assez limité de fournisseurs d'hébergement,
02:34 qui permettaient par exemple d'envoyer du trafic depuis n'importe quelle IP.
02:38 Ça aujourd'hui, on en voit toujours évidemment, puisque c'est la source de tout ce qui est à base d'amplification,
02:43 de réflexion, et même de spouffing, par exemple pour des floods de SIN.
02:49 Mais aujourd'hui, la majorité du trafic, et c'est ce que vous voyez sur le graphe ici,
02:54 maintenant c'est grosso modo moitié-moitié botnet contre ce qui venait de fournisseurs de spouffing.
03:02 Vous pouvez voir évidemment qu'il y a eu une petite anomalie au deuxième trimestre de l'an dernier,
03:09 je vous laisse deviner pourquoi.
03:11 Donc on a vu vraiment un gros pic d'activité, que ce soit entre l'Ukraine, la Russie ou d'autres pays qui étaient un peu impactés là-dessus.
03:19 Donc je vais vous aussi montrer un exemple un peu plus concret du type d'attaque qu'on a vu à ce moment-là.
03:24 Mais vraiment, ce que ça veut dire pour les opérateurs, et de manière générale pour tous ceux qui touchent à un réseau,
03:31 c'est qu'on voit ce type d'attaque maintenant devenir la majorité.
03:35 Ce qui veut aussi dire que maintenant, les botnets qui étaient avant utilisés plus pour du DDoS applicatif,
03:41 sont maintenant utilisés pour du DDoS volumétrique.
03:43 Donc on voit toujours évidemment du volumétrique, mais on voit de plus en plus d'applicatifs,
03:47 que ce soit par exemple des flooding avec du HTTP, HTTPS, ou maintenant aussi du QUIC,
03:53 ce qui est vraiment le vecteur à la mode.
03:58 Donc, l'autre problème, évidemment, et vous l'avez un peu deviné, je pense que la plupart de vous le savent déjà,
04:05 c'est l'IoT. L'IoT est la source de, on va dire, 90% du botnet DDoS aujourd'hui.
04:12 C'est quelque chose évidemment qui est nourri par le nombre d'appareils IoT qui sont déployés tous les jours,
04:19 et qui restent pendant des années et des années, sans être mis à jour, avec une sécurité qui peut être discutable.
04:27 Et ça, évidemment, on parle de milliards, voire de dizaines de milliards d'appareils qui sont connectés à Internet.
04:33 Certes, pas tous avec un accès direct, mais vous seriez surpris du nombre d'appareils que vous pouvez accepter directement,
04:40 sans mot de passe, avec un joli port forwarding sur le routeur, et qui sont utilisés par les exploitants de botnet.
04:49 Tout ça, ça contribue en fait aussi à l'effondrement du prix du DDoS commercial,
04:55 puisqu'il n'y a pas si longtemps, pour lancer des attaques avec un booteur commercial, qui sont disponibles assez facilement,
05:03 évidemment illégaux dans la plupart des pays, il fallait de l'ordre de 1000 euros, grosso modo par mois,
05:10 donc payables en Bitcoin ou autre crypto-monnaie. Aujourd'hui, vous pouvez trouver des sites,
05:17 vous pouvez lancer des attaques gratuitement, donc évidemment, ça sera du volumétrique bête et méchant,
05:22 mais si vous voulez payer un petit peu plus, et c'est pas beaucoup plus, vous pouvez lancer de l'applicatif pour une vingtaine d'euros par mois.
05:29 Donc ça, c'est vraiment la réalité du marché aujourd'hui, du marché noir, sur le DDoS commercial.
05:35 Pour reprendre un petit peu un exemple d'attaque qu'on a vu passer, par exemple, l'an dernier,
05:43 donc ça c'était mars-avril de l'an dernier, par exemple, donc c'est peut-être un petit peu petit,
05:48 je pense pour la plupart d'entre vous, mais grosso modo, c'est une attaque d'à peu près 800-900 gigas,
05:53 donc vers une adresse IP qui appartient au ministère de la Défense aux US.
05:58 Et donc ça, cette attaque, c'était intégralement du botnet, c'était un flot d'UDP, enfin, UDP principalement,
06:07 et en gros, ça incorporait donc à peu près une trentaine de milliers d'appareils IOT,
06:13 pour la plupart des DVR, donc des vidéos recorders, qui servent à centraliser un peu les enregistrements des caméras de sécurité.
06:22 Et ce qui est intéressant sur ce cas-là, par exemple, et on en voit de plus en plus,
06:26 c'est que la plupart des appareils qui envoyaient ce trafic DDoS étaient déjà aux USA.
06:33 Donc c'est des abonnés américains qui sont compromis, donc qui ont des appareils qui sont exploités par les opérateurs de botnet,
06:40 et qui vont ensuite attaquer des cibles qui sont dans le pays.
06:43 Donc ça, on voit ça de plus en plus, donc pas forcément à cette échelle-là,
06:48 mais on en voit quand même régulièrement où, par exemple, des abonnés des opérateurs
06:54 attaquent l'infrastructure de l'opérateur.
06:57 Donc c'est pour ça que là, ça pose aussi un certain nombre de questions sur "que faut-il protéger ?"
07:03 Donc quel est vraiment le périmètre de ce qui devrait y aller quand on parle de DDoS ?
07:07 Parce que pendant longtemps, quand même, on a parlé, c'était le peering qu'il fallait protéger,
07:10 celle-là devient les méchantes attaques, mais ce n'est plus le cas aujourd'hui.
07:15 Donc pour illustrer toujours un petit peu, dans cette attaque,
07:20 je vous parlais des équipements qui sont facilement compromis, et c'est un exemple.
07:24 C'est un des DVR qui faisait partie de cette attaque,
07:28 donc un des 31 000 écalques appareils qui envoyaient du trafic UDP vers cette IP du ministère de la Défense.
07:36 C'est un DVR qui a une version logicielle de 2016, ce qui est pas mal.
07:43 Et il ne suffit pas beaucoup de recherche Google,
07:46 il suffit à peu près de cinq minutes sur Google pour trouver la version qui peut être exploitée.
07:52 Et de manière très facile, vous pouvez aussi trouver un joli exploit qui est disponible sur GitHub,
08:00 avec un joli tuto, donc il n'y a pas de problème,
08:03 vous pouvez en quelques dizaines de minutes avoir un bot à votre disposition,
08:08 et évidemment utiliser des ressources comme Shodan ou Census,
08:12 pour voir quelles sont les RSIP que vous pouvez viser avec ce type d'exploit.
08:16 Bien sûr, dans un monde idéal, il n'y aurait pas de bug.
08:23 Dans un monde idéal, le software serait parfait.
08:26 Il s'avère que malheureusement, ce n'est pas le cas,
08:28 même avec les promesses un peu de "memory safe", de langage "memory safe".
08:32 On voit de plus en plus, évidemment, de vulnérabilités qui sont associées à différents services et appareils.
08:39 Donc ce graphe-là, juste pour clarifier, ce n'est pas cumulatif.
08:44 Donc c'est vraiment le nombre de vulnérabilités chaque année,
08:48 qui peuvent être ensuite exploitées par différents acteurs.
08:52 Je ne sais pas si certains d'entre vous suivent un peu l'actualité au niveau des vulnérabilités critiques qui se sont diffusées,
08:59 mais par exemple, la semaine dernière, j'avais l'impression qu'on avait à peu près un an de ce qui se passait.
09:04 Enfin, ce qui fait une grosse différence aussi, une grosse partie du problème, c'est vous.
09:13 Ou plutôt, je devrais dire, c'est vos services marketing.
09:16 Parce que le gigabit symétrique, c'est vraiment du pain béni pour les opérateurs de botnet.
09:21 Quand ils passent d'un débit montant à 20Mb, à un débit montant à 1Gb,
09:25 ça évidemment multiplie beaucoup l'impact, donc vraiment quelque chose qui nourrit un petit peu le problème.
09:31 Je vous en ai parlé ici, je serai assez bref.
09:36 Donc vraiment, ce que je voudrais vraiment qu'on retienne ici, c'est que le DDoS, ça n'est plus qu'au niveau du peering.
09:43 C'est vraiment aussi quelque chose qui peut venir, et qui vient déjà des abonnés,
09:47 qui peut venir des charges, par exemple sur les VM dans vos data centers.
09:52 Donc c'est quelque chose auquel il faut vraiment être attentif.
09:56 Et donc du coup, pour limiter l'impact sur votre propre réseau, et aussi évidemment sur les autres.
10:02 Je vais passer très rapidement sur cet exemple, puisqu'il était un exemple plus d'un autre type de DDoS,
10:10 que peut-être certains d'entre vous aviez entendu parler,
10:13 qui est lié à un groupe pro-russe qui attaque différents sites,
10:17 en fonction des annonces qui sont faites pour l'aide à l'Ukraine.
10:21 Dans ce cas-là, ce n'est pas du volumétrique, c'est vraiment de l'applicatif.
10:24 Donc ça, c'est ce qu'on appelle du web DDoS.
10:26 Ça va être avec des requêtes qui sont valides, qui viennent de bots,
10:30 qui vont faire des requêtes correctes d'un point de vue sur les formulaires web de ces sites.
10:35 En l'occurrence, là c'était en juillet, c'était le site du Transilien,
10:39 qui est donc tombé pendant quelques heures, à grosso modo.
10:43 Et souvent, la réponse automatique pour ça, c'est qu'il est tellement impossible de distinguer le trafic DDoS,
10:48 le trafic légitime, que ces opérateurs de sites bloquent par pays.
10:53 Donc en gros là, par exemple, souvent, c'était, on ne l'autorise que les IP de France à se connecter au site.
10:58 Ça marche, enfin pour certains ça va marcher, mais c'est pas idéal.
11:02 Alors que si on regarde un peu sur la source du trafic,
11:05 là on peut voir que la source du trafic DDoS pour cette attaque,
11:09 ça vient de très peu de fournisseurs d'hébergement différents.
11:14 Donc on peut voir assez facilement qui envoie ces attaques,
11:19 et comment on peut les bloquer le meilleur, plus efficace.
11:23 Pour résumer, et je pourrais en parler des heures, mais voilà, Philippe m'en voudrait.
11:27 Donc vraiment, pour résumer, c'est vraiment que le DDoS c'est toujours là.
11:32 Ça n'est pas quelque chose qui disparaît.
11:35 On doit vraiment protéger non seulement le peering,
11:38 mais regarder un peu ce qui se passe aussi au niveau des abonnés, des VM, des data centers,
11:42 pour comprendre un peu ça de manière plus globale.
11:44 Donc vraiment la visibilité est quelque chose d'important.
11:46 Nokia évidemment fournit des solutions, mais il y a d'autres fournisseurs aussi qui fournissent des flux.
11:52 Je t'ai une question pour toi. Est-ce que tu as des clients qui font du filtrage DDoS sortant ?
11:56 Oui. Donc justement, c'est un des clients avec qui je travaillais l'an dernier en Asie.
12:01 Donc il était un des premiers qui voyait des problèmes de DDoS sortant,
12:05 où ça avait pour cause de la congestion au niveau de leur peering.
12:09 Donc il y avait tellement de DDoS sortant de leurs abonnés,
12:12 qu'à certains moments, ça bloquait au niveau du peering.
12:16 Du coup, ils ont fait appel à Lenovo pour déjà comprendre ce qui se passait,
12:20 et puis ensuite voir comment on pouvait bloquer ça.
12:23 Eh bien, merci !