Evolution des attaques DoS selon le CERT/CC
Date : 07 Juillet 2005
Le CERT-CC a publié fin octobre un rapport analysant l'évolution des techniques d'attaques par déni de service (son URL est donnée en fin d'article), dont nous vous présentons une synthèse.
Faits marquants
Dans son article, le CERT-CC présente un historique détaillé des attaques DDOS. Nous en reprenons ici simplement les éléments que nous trouvons les plus marquants.
- Juillet/août 1999 : Premier déploiement massif d'outils DDOS (Trinoo, TFN, Stacheldraht), visant des plates-formes UNIX.
- Février 2000 : Les attaques des sites Yahoo, Ebay et E*Trade médiatisent les technologies DDOS et démontrent leur efficacité.
- Mai 2000 : " LoveLetter " montre l'effet d'une diffusion à large échelle d'un virus sous Windows. Il sera suivi plus tard par d'autres virus comme " OnTheFly/Kournijova " (février 2001), Sircam (juillet 2001) et CodeRed (juillet 2001), aux effets tout aussi dévastateurs.
- Novembre 2000 : Emergence sur les plates-formes Windows des outils DDOS jusqu'alors présents uniquement sur Unix.
- Janvier 2001 : Le ver Ramen implémente la propagation automatique (sur UNIX), de plate-forme en plate-forme. Les vers " erkms " et " Li0n " (février 2001) utiliseront aussitôt cette technique pour constituer des réseaux DDOS.
- Mai 2001 : Le ver " sadmind/IIS " implémente la propagation " multi-plateforme ", en visant simultanément UNIX et Windows.
- Septembre 2001 : Le ver Nimda cumule un comportement " classique virus " (email, partages réseau) à des fonctions de propagation " à la UNIX ".
Ce que ne dit pas le document du CERT-CC, mais qui ressort de cet historique, est que la propagation d'outil de DDOS au moyen de vers/virus paraît une suite logique de cette progression. CodeRed (qui avait une fonction d'attaque par saturation d'un site pré-défini), est le premier virus de ce type.
Evolution des techniques d'attaque
D'un point de vue technique, le principe des attaques DDOS reste globalement inchangé : il s'agit d'attaques par saturation de trafic TCP, UDP ou ICMP (flooding). La seule évolution notable à ce niveau est la façon dont les différentes machines d'attaques se coordonnent. L'utilisation de mécanismes hiérarchiques (détectables en observant les ports de communications en attente sur une machine) a ainsi laissé la place à une communication au travers d'un ou plusieurs serveurs IRC fédérateurs (toutes les machines compromises rejoignent un " channel " IRC secret où elles reçoivent leurs ordres).
L'élément le plus marquant est en fait la façon dont les réseaux DDOS sont aujourd'hui construits. A l'origine, ceux-ci étaient construits de façon artisanale, en compromettant " manuellement " des machines une à une. Désormais, les actions de scan (recherche de victimes), de test de vulnérabilité, et de compromission sont totalement automatisées, et donc faites le plus souvent à l'aveugle : l'outil de propagation est " lâché dans la nature ", et il collecte des victimes au hasard.
De même, alors que seul UNIX était visé initialement (les outils de dénis de services étaient , à l'origine, disponibles uniquement sur UNIX), Windows est maintenant également touché. En tant que plate-forme " tout public ", il est clair que les configurations Windows sont généralement moins bien sécurisées, ce qui est donc une cible plus rentable pour constituer un réseau DDOS d'attaque.
En terme de cibles, les évolutions les plus récentes montrent aussi que désormais les équipements réseau (routeurs) deviennent une cible prisée. Il s'agit aujourd'hui essentiellement d'équipements mal configurés (par exemple sans mot de passe). Ils ont essentiellement comme intérêt pour le pirate de mieux résister à des contre-attaques, et sont donc beaucoup utilisés comme des relais dissimulant l'attaquant.
Le dernier aspect soulevé par le CERT-CC est la réduction du temps de développement des programmes d'exploitation des vulnérabilités. De moins en moins de temps s'écoule en effet entre le moment où les vulnérabilités sont discutées, et le moment où les outils d'attaque associés apparaissent. Ce phénomène pourrait être dû au maintien secret des vulnérabilités jusqu'au moment des attaques réelles, de façon à éviter qu'un groupe rival n'exploite une faille avant que le découvreur n'ait eu le temps de le faire. Ce constat montre en tout cas que les administrateurs systèmes doivent être de plus en plus réactifs de façon à pallier aux vulnérabilités rapidement une fois que celles-ci sont connues.
Interprétation par le Cert-IST
Depuis son arrivée médiatique au début de l'année 2000, les techniques DDOS ont essentiellement évoluées dans les techniques de propagation. Il est aujourd'hui de plus en plus facile de répandre de façon automatique des outils d'attaque sur un parc de plus en plus grand de machines mal sécurisées.
Il est clair que dans ce contexte, le risque d'attaque a largement augmenté. Les efforts doivent donc être portés aujourd'hui :
- D'une part sur la sécurisation des plates-formes (trop de machines restent vulnérables à des failles connues), de façon à limiter les possibilités de monter des attaques de grande envergure.
- D'autre part à protéger les sites contre les attaques par inondation de trafic (" flooding ").
Sur ce dernier point, le Cert-IST publiera dans les prochains jours le rapport de l'étude " Protection contre les attaques IP par flooding " réalisé cette année avec les Partenaires du Cert-IST.
Pour plus d'information :
"Trends in DoS attack technology" - CERT-CC : http://www.cert.org/archive/pdf/DoS_trends.pdf