FRnOG 41 - Ashley Stephenson : DDoS - from SYN-flood to HTTP/3
Catégorie
🤖
TechnologieTranscription
00:00Aujourd'hui, je vais vous parler de mon expérience
00:05au cours des 10 dernières années
00:07dans la lutte contre DDoS sur les réseaux que vous construisez et que vous opérez.
00:11Je vais aussi vous parler de l'évolution de DDoS
00:16et parler spécifiquement des changements
00:20liés à l'utilisation de HTTP3.
00:24Je suis le CTO et le CPO de Carrera Network Security.
00:28Comme je l'ai mentionné, c'est une entreprise américaine
00:31qui a de nombreux clients autour du monde, mais spécifiquement en Europe.
00:36Quand je pensais à un message général à offrir aujourd'hui,
00:41j'ai utilisé la règle des 10.
00:44Dans ces 10 années que je m'occupe ici,
00:48la taille des attaques a augmenté environ 10 fois.
00:52Que ce soit en taille de bandes, en bits par seconde,
00:57ou en taille de paquets, en paquets par seconde.
01:01Il est maintenant commun d'obtenir des attaques de terabytes
01:04et d'attaques de plus de 100 millions de paquets par seconde,
01:09ce qui va challenger la plupart des infrastructures.
01:12Je suis sûr que la plupart des infrastructures que vous offrez
01:15ou les clients que vous soutenez
01:17ne souhaitent pas voir une baisse d'affichage prévue dans cette taille.
01:22Ce que nous trouvons aussi quand nous regardons
01:24le grand nombre de statistiques,
01:26c'est que chaque fois que vous déplacez une barrière
01:30ou que vous mesurez la bande,
01:32vous voyez 10 fois plus d'attaques.
01:34Si vous voyez 10 attaques sur votre réseau à 1 terabyte,
01:39vous verrez probablement 100 attaques à 100 gigabits,
01:43et 1 000 attaques à 10 à 100 gigabits.
01:48Il y a donc une explosion exponentielle
01:51dans le nombre d'attaques au cours de la baisse de taille.
01:54On a vu cela d'année en année,
01:57donc je ne crois pas que cela va changer dans le futur.
02:01On a aussi vu une grande augmentation
02:04dans le nombre de vecteurs d'attaque.
02:06Ils évoluent continuellement,
02:08et de nouveaux vecteurs apparaissent chaque année.
02:11C'est donc quelque chose
02:13que nous allons rencontrer au cours des 10 prochaines années.
02:16En général, c'est en suivant le développement de l'Internet.
02:20Si vous construisez de plus grandes réseaux,
02:23si vous connectez des fibres optiques plus rapides,
02:27ou si vous construisez de plus grands centres d'accueil
02:30pour l'intelligence artificielle,
02:32ou pour la CPU traditionnelle,
02:34DDoS va se développer avec eux.
02:37Les chiffres que je vous montre sont des chiffres
02:39que j'ai pris de nos statistiques l'an dernier.
02:42Vous voyez que l'un de ces réseaux
02:44a plusieurs attaques,
02:47500 gigabits ou plus.
02:50Si c'est la taille de l'attaque détectée
02:53dans ce réseau,
02:55l'attaque qui a été lancée sur Internet
02:57est probablement multi-terabit.
02:59Parce que, si on mesure à la source,
03:02les attaques DDoS sont typiquement
03:05trois ou quatre fois plus grandes
03:07que la taille qu'elles montrent
03:09à l'ASN de l'attaque.
03:14En termes d'attaques vecteurs,
03:16nous voyons aussi des nouveaux vecteurs apparaître,
03:19ou des anciens vecteurs qui sont renouvelés
03:22ou reutilisés avec les dernières technologies
03:25ou vitesses.
03:26Sur le côté droit,
03:28pour référence, j'ai listé un grand rang
03:30de vecteurs d'attaque.
03:33Les botnets sont particulièrement actifs
03:35en ce moment.
03:36Et, bien qu'historiquement,
03:38les botnets aient été implémentés
03:40avec des systèmes Pwn
03:42ou des systèmes qui ont été retenus
03:44par le bot-master ou le bot-herder,
03:47c'est devenu si cher maintenant
03:49juste pour acheter des ressources de computer
03:52que nous voyons des bots
03:54qui sont achetés.
03:56Les gens achètent simplement le computer
03:58qu'ils ont besoin,
03:59où ils l'ont besoin,
04:00pour lancer leurs attaques.
04:01Cela signifie qu'ils sont en plein contrôle
04:03de ces ressources des bots
04:06et qu'ils n'ont pas à les partager
04:08avec d'autres acteurs malicieux
04:09qui essayent aussi de Pwn
04:11ces mêmes systèmes.
04:13La bombe de carpet a aussi été très active
04:16au cours des dernières années,
04:17la poussée d'attaques.
04:19Cela signifie qu'une attaque DDoS
04:21va bouger rapidement
04:23à travers toute l'espace d'adresse,
04:25l'espace d'adresse IP
04:26qui est transporté à travers votre réseau
04:29ce qui rend très difficile
04:30de rediriger le trafic
04:32pour centraliser ou localiser le scrubbing.
04:34Vous devez donc aller vers
04:36la détection distribuée
04:38et les capacités de mitigation.
04:40Nous avons vu des infrastructures DNS
04:42être attaquées par la torture d'eau
04:45ou des demandes de domaines non existants.
04:47Et puis, nous avons des amplificateurs super
04:50où vous pouvez être familier
04:52avec l'idée de réflexion et d'amplification
04:54où vous envoyez un petit message
04:56à un service
04:57qui, malheureusement,
04:58envoie une réponse large
05:00à une adresse de source
05:03mais avec les amplificateurs super,
05:05les mauvais garçons
05:06trouvent des systèmes
05:08que vous pouvez programmer
05:09pour envoyer
05:10pas seulement 100 fois
05:11les données
05:12ou une réponse large
05:13mais qui continueront à l'envoyer
05:14même si vous arrêtez d'en demander.
05:16Donc,
05:17ils attaquent toutes les vulnérabilités
05:20ou la routine de tests mal conçue
05:22et l'utilisent
05:23quand c'est nécessaire
05:25pour attaquer les ressources
05:27sur l'Internet IP public.
05:31Quand il s'agit des attaques
05:35que je vais mentionner
05:37liées à l'évolution de l'HTTP,
05:41nous avons des choses très intéressantes
05:43qui se passent
05:44et nous ne savons même pas
05:45ce qui va se passer
05:46dans les prochaines années
05:47en termes d'exploits dans ce domaine.
05:49Donc,
05:50les vecteurs d'attaque,
05:51nous avons des exploits
05:52de vulnérabilités anciennes
05:54et nous trouvons aussi
05:56des vulnérabilités
05:57dans les nouveaux protocoles.
05:58Cela se passe
05:59en même temps
06:00et souvent,
06:01dans une attaque multivectorale,
06:02elles peuvent être mélangées
06:03à grand effet.
06:06Une autre chose
06:07que nous trouvons
06:08c'est que DDoS
06:09ou DOS
06:10prend toutes sortes de formes.
06:11À droite,
06:12je vous montre
06:14quelques types de DOS
06:17que vous pourriez entendre aujourd'hui.
06:19L'année dernière,
06:20nous avions des DOS Ops
06:22où l'attaquant a trouvé un moyen
06:24à travers un credentiel volé
06:27d'encrypter l'utilisateur
06:30pour propager
06:31ses nouvelles routes
06:32et les prendre en ligne.
06:34Nous avons eu
06:36plus d'exemples
06:37de DDoS permanents
06:38où le flash
06:40ou d'autres techniques
06:41sont utilisées
06:42pour désactiver les systèmes
06:43permanentement
06:44pour ne pas pouvoir
06:45les recharger
06:46ou les réutiliser.
06:47Et puis,
06:48plus récemment,
06:49dans l'environnement actuel,
06:50nous avons des DDoS excuses
06:51où,
06:52quand vous avez
06:53un système mal conçu
06:54qui ne peut pas
06:55recharger légitimement,
06:56vous le blâmez
06:57sur un pays
06:58et vous dites
06:59qu'ils vous ont DDoSé
07:01plutôt que d'admettre
07:02que vous avez
07:03un système mal engineé.
07:05Nous avons aussi,
07:06bien sûr,
07:07des DDoS
07:08seuls infligés
07:09où les gens
07:10ne sont pas prudents
07:11avec leurs tests
07:12ou leurs nouvelles softwares
07:14et prennent peut-être
07:15tous les PC Windows
07:17dans le monde
07:18en ligne
07:19pendant quelques jours.
07:20Donc,
07:21il y a beaucoup
07:22de différents types
07:23de DDoS
07:24qui se produisent
07:25ces jours-ci.
07:26Mais je vais me concentrer
07:27ici sur l'évolution
07:28dans le contexte
07:29spécifique
07:30de l'HTTP3.
07:32Donc,
07:33quand nous détectons
07:34des DDoS,
07:35et c'est la spécialité
07:36de l'entreprise
07:37dont je travaille,
07:38nous essayons
07:39de regarder
07:40tout ce qui est disponible
07:41sur les paquets
07:42qui voyagent
07:43sur la réseau.
07:44Donc,
07:45chaque paquet
07:46que nous recevons,
07:47nous regardons
07:48la longueur
07:49du paquet,
07:50les flèches
07:51qui pourraient être mises,
07:52les options sélectionnées,
07:53d'où il vient,
07:54d'où il va,
07:55le TTL,
07:56les ports de source
07:57en utilisation,
07:58le niveau de fragmentation,
07:59les protocoles.
08:00Donc,
08:01nous prenons tous
08:02ces points de données
08:03effectivement,
08:04extraitons des fonctionnalités
08:05utiles
08:06d'eux
08:07dans le style
08:08de l'apprentissage
08:09de machines
08:10et utilisons ces fonctionnalités
08:11pour essayer
08:12et décider
08:13si c'est légitime
08:14ou maléfique.
08:15Et,
08:16de plus en plus,
08:17avec nos clients,
08:18nos clients
08:19et les réseaux
08:20que vous construisez,
08:21nous examinons
08:22toutes les sources disponibles
08:23d'informations de paquets.
08:24Nous mirons les paquets,
08:25nous les prenons
08:26de S-FLOW,
08:27IPFIX,
08:28FLOW,
08:29EBPF,
08:30SHIMS.
08:31Il n'y a pas vraiment
08:32d'importance
08:33de la source.
08:34Les données viennent
08:35comme une excellente ressource
08:36et nous extravions
08:37les fonctionnalités
08:38d'eux
08:39et nous examinions
08:40les indicateurs
08:41de l'activité DDoS.
08:42Nous examinons
08:43également
08:44le payload.
08:45Si ce n'est pas encrypté,
08:46nous pouvons
08:47examiner
08:48tous les éléments
08:49autour de l'encryption
08:50qui pourraient indiquer
08:51qu'il s'agit
08:52d'un paquet maléfique
08:53plutôt que d'un transfert
08:54légitime
08:55que vos clients
08:56souhaitent maintenir.
08:57Parce que quand vous
08:58vous battez contre DDoS,
08:59ce n'est pas seulement
09:00une question
09:01de bloquer correctement
09:02des paquets mauvais,
09:03vous voulez s'assurer
09:04que vous ne bloquez pas
09:05correctement
09:06des paquets bons
09:07et bien.
09:08C'est ce que nous faisons
09:09avec le DDoS.
09:10C'est ce que nous faisons
09:11avec le DDoS.
09:12C'est ce que nous faisons
09:13avec le DDoS.
09:14C'est ce que nous faisons
09:15avec le DDoS.
09:16Alors,mis-à-mins,
09:17nous faisons des bâtiments
09:18de bonnes paquetes
09:19et des falses positives
09:20tout en nous tirant
09:21des pieds
09:22en termes de protection
09:23des ressources importantes.
09:26Alors, en passant au HTTP3,
09:29l'adoption se déroule
09:30autour de 30%
09:33actuellement
09:34pour transactions
09:36sur le Web
09:37et sur Internet.
09:39Cela semble être
09:40assez explicable
09:42et il y a eu
09:43de bonnes études
09:44pour que nous puissions
09:45ou des CDNs comme Cloudflare.
09:49Nous pouvons consulter des étudiants
09:51qui font des études et analysent les données.
09:54Les références sont ici.
09:57Mais ce qui se passe, c'est que les applications
10:00qui bénéficient vraiment du temps de réponse
10:03plus bas et plus rapide de l'HTTP3
10:06sont celles qui se déplacent le plus rapidement
10:08dans ce protocole.
10:10Les communications machine-à-machine
10:12ne sont pas si inquiétantes
10:14par rapport au temps de réponse.
10:16Elles ne s'inquiètent pas s'ils obtiennent
10:18la réponse dans un seconde ou deux.
10:21C'est juste une machine,
10:22et ça prend la même quantité de calcul
10:24pour lire le résultat.
10:26Même si c'est un LLM
10:29qui scanne l'Internet
10:31pour l'information à entraîner,
10:33ça n'a pas d'importance
10:35s'il l'obtient dans un seconde ou quelques secondes.
10:37Mais les applications utilisant l'UX,
10:40l'expérience utilisateur est très importante.
10:42Elles ont été rapides à se déplacer à l'HTTP3
10:45pour obtenir leurs complétions automatiques
10:48sur l'application Maps
10:50ou leur statut d'autre très rapidement
10:53pour les applications mobiles, etc.
10:55Les appareils Legacy et IoT sont toujours là-bas.
10:59Ils sont là-bas parce qu'ils sont vieux
11:01ou parce qu'ils n'ont pas vraiment
11:03les conditions demandantes
11:06de leurs communications.
11:09Ils sont toujours là-bas,
11:11comme vous pouvez le voir
11:13dans la ligne bleue noire,
11:15en haut à droite,
11:17pour les communications HTTP 1.x.
11:20L'encryption, HTTPS,
11:22plus de 90% du trafic,
11:25et la plupart des sites majeurs
11:27utilisent maintenant HTTP3
11:29pour une expérience utilisateur meilleure.
11:31HTTP3 est réellement
11:34pour DDoS dans de nombreuses façons.
11:36Vous avez probablement entendu
11:38ou même expérimenté
11:40les bénéfices de HTTP3.
11:42Mais d'un point de vue DDoS,
11:44le protocole de transport
11:46précédent discret
11:48de TCP,
11:50l'encryption de TLS
11:52et le protocole Web
11:54de HTTP2
11:56étaient des constructions
11:58séparées sur le stack.
12:00Dans HTTP3,
12:02on a changé d'utiliser UDP
12:04pour le transport
12:06et on a regroupé l'encryption
12:08avec QUIC
12:10pour soutenir
12:12le protocole HTTP3 lui-même.
12:14Certaines méthodes d'attaque
12:16traditionnelles de DDoS
12:18s'appliquent encore dans le monde
12:20de HTTP3,
12:22comme QUIC Reflections, QUIC Floods.
12:24Mais une chose à noter pour DDoS,
12:26c'est qu'on a perdu le TCP Handshake
12:28dans le CLEAR,
12:30que l'on utilisait pour valider
12:32que la demande n'était pas spoofée
12:34et que l'on devait la garder à l'esprit.
12:36Cela a maintenant été supprimé
12:38par le protocole QUIC.
12:40Une autre chose,
12:42c'est que l'UDP est un protocole
12:44très populaire de DDoS
12:46pour beaucoup d'exploits
12:48qui ont été utilisés au cours des années.
12:50Donc le trafic QUIC est mélangé
12:52plus lentement
12:54avec le trafic mauvais.
12:56Avant,
12:58beaucoup de consommateurs
13:00pouvaient juste changer de UDP
13:02sur les serveurs d'application
13:04et permettre au TCP
13:06de les protéger des attaques.
13:08HTTP3 est toujours en encryption.
13:10Ce n'est pas une option.
13:12Cela présente un défi particulier.
13:14Ce qui nous laisse,
13:16c'est que quand on regarde le stack HTTP,
13:18il y avait tous ces interchanges
13:20qui se déroulaient.
13:22Au dessus, ils étaient dans le CLEAR
13:24et on pouvait les utiliser pour détection de DDoS
13:26ou détection de spoof.
13:28Ils étaient bien compris
13:30quand on s'est déplacé au QUIC
13:32avec HTTP3.
13:34Cela a été compressé
13:36et plus de choses sont en encryption.
13:38Alors, même si c'est plus rapide
13:40pour l'expérience de l'utilisateur,
13:42c'est en fait plus difficile
13:44de déterminer
13:46le potentiel d'utilisation du bot, etc.
13:48Cela permet aussi
13:50d'obtenir des demandes
13:52qui peuvent être utilisées
13:54pour l'overload des ressources.
13:56En QUIC et HTTP3,
13:58il y a l'option Cryptime
14:00qui permet de paqueter les demandes
14:02avec le Hello initial
14:04ou plutôt le reutilisation
14:06d'un matériel d'encryption
14:08pour le Hello.
14:10Cela peut aussi vous exposer
14:12à des attaques de replay
14:14ou à des attaques de DDoS
14:16d'un bot managé
14:18qui peut délivrer
14:20beaucoup de processus.
14:22Le nouveau protocole
14:24est une expérience de l'utilisateur
14:26et nous ne savons pas
14:28où cela va nous emmener.
14:30En général, HTTP3 est meilleur
14:32que HTTP2.
14:34Sur ce chart, vous pouvez voir
14:36que les vulnérabilités
14:38prévues pour DDoS
14:40et HTTP2,
14:42les bleus sombres,
14:44sont les uniques
14:46liées à HTTP3,
14:48mais nous espérons
14:50que de nouveaux exploits
14:52seront découverts.
14:54Il y a des bénéfices
14:56dans l'expérience de l'utilisateur,
14:58la légitimité et l'efficacité,
15:00mais nous espérons
15:02qu'il y aura
15:04plus de nouvelles techniques
15:06qui seront développées
15:08autour d'elle
15:10que nous ne comprenons pas
15:12et que nous devrons
15:14réagir.
15:16Une autre chose
15:18qui se passe
15:20c'est l'identité
15:22et l'identité
15:24de l'utilisateur.
15:26Merci pour votre attention.