Passer au player
Passer au contenu principal
Passer au pied de page
Rechercher
Se connecter
Regarder en plein écran
Like
Commentaires
Favori
Partager
Ajouter à la playlist
Signaler
FRnOG 41 - Ashley Stephenson : DDoS - from SYN-flood to HTTP/3
Vidéos des réunions FRnOG
Suivre
02/04/2025
FRnOG 41 - Ashley Stephenson : DDoS - from SYN-flood to HTTP/3
Catégorie
🤖
Technologie
Transcription
Afficher la transcription complète de la vidéo
00:00
Aujourd'hui, je vais vous parler de mon expérience
00:05
au cours des 10 dernières années
00:07
dans la lutte contre DDoS sur les réseaux que vous construisez et que vous opérez.
00:11
Je vais aussi vous parler de l'évolution de DDoS
00:16
et parler spécifiquement des changements
00:20
liés à l'utilisation de HTTP3.
00:24
Je suis le CTO et le CPO de Carrera Network Security.
00:28
Comme je l'ai mentionné, c'est une entreprise américaine
00:31
qui a de nombreux clients autour du monde, mais spécifiquement en Europe.
00:36
Quand je pensais à un message général à offrir aujourd'hui,
00:41
j'ai utilisé la règle des 10.
00:44
Dans ces 10 années que je m'occupe ici,
00:48
la taille des attaques a augmenté environ 10 fois.
00:52
Que ce soit en taille de bandes, en bits par seconde,
00:57
ou en taille de paquets, en paquets par seconde.
01:01
Il est maintenant commun d'obtenir des attaques de terabytes
01:04
et d'attaques de plus de 100 millions de paquets par seconde,
01:09
ce qui va challenger la plupart des infrastructures.
01:12
Je suis sûr que la plupart des infrastructures que vous offrez
01:15
ou les clients que vous soutenez
01:17
ne souhaitent pas voir une baisse d'affichage prévue dans cette taille.
01:22
Ce que nous trouvons aussi quand nous regardons
01:24
le grand nombre de statistiques,
01:26
c'est que chaque fois que vous déplacez une barrière
01:30
ou que vous mesurez la bande,
01:32
vous voyez 10 fois plus d'attaques.
01:34
Si vous voyez 10 attaques sur votre réseau à 1 terabyte,
01:39
vous verrez probablement 100 attaques à 100 gigabits,
01:43
et 1 000 attaques à 10 à 100 gigabits.
01:48
Il y a donc une explosion exponentielle
01:51
dans le nombre d'attaques au cours de la baisse de taille.
01:54
On a vu cela d'année en année,
01:57
donc je ne crois pas que cela va changer dans le futur.
02:01
On a aussi vu une grande augmentation
02:04
dans le nombre de vecteurs d'attaque.
02:06
Ils évoluent continuellement,
02:08
et de nouveaux vecteurs apparaissent chaque année.
02:11
C'est donc quelque chose
02:13
que nous allons rencontrer au cours des 10 prochaines années.
02:16
En général, c'est en suivant le développement de l'Internet.
02:20
Si vous construisez de plus grandes réseaux,
02:23
si vous connectez des fibres optiques plus rapides,
02:27
ou si vous construisez de plus grands centres d'accueil
02:30
pour l'intelligence artificielle,
02:32
ou pour la CPU traditionnelle,
02:34
DDoS va se développer avec eux.
02:37
Les chiffres que je vous montre sont des chiffres
02:39
que j'ai pris de nos statistiques l'an dernier.
02:42
Vous voyez que l'un de ces réseaux
02:44
a plusieurs attaques,
02:47
500 gigabits ou plus.
02:50
Si c'est la taille de l'attaque détectée
02:53
dans ce réseau,
02:55
l'attaque qui a été lancée sur Internet
02:57
est probablement multi-terabit.
02:59
Parce que, si on mesure à la source,
03:02
les attaques DDoS sont typiquement
03:05
trois ou quatre fois plus grandes
03:07
que la taille qu'elles montrent
03:09
à l'ASN de l'attaque.
03:14
En termes d'attaques vecteurs,
03:16
nous voyons aussi des nouveaux vecteurs apparaître,
03:19
ou des anciens vecteurs qui sont renouvelés
03:22
ou reutilisés avec les dernières technologies
03:25
ou vitesses.
03:26
Sur le côté droit,
03:28
pour référence, j'ai listé un grand rang
03:30
de vecteurs d'attaque.
03:33
Les botnets sont particulièrement actifs
03:35
en ce moment.
03:36
Et, bien qu'historiquement,
03:38
les botnets aient été implémentés
03:40
avec des systèmes Pwn
03:42
ou des systèmes qui ont été retenus
03:44
par le bot-master ou le bot-herder,
03:47
c'est devenu si cher maintenant
03:49
juste pour acheter des ressources de computer
03:52
que nous voyons des bots
03:54
qui sont achetés.
03:56
Les gens achètent simplement le computer
03:58
qu'ils ont besoin,
03:59
où ils l'ont besoin,
04:00
pour lancer leurs attaques.
04:01
Cela signifie qu'ils sont en plein contrôle
04:03
de ces ressources des bots
04:06
et qu'ils n'ont pas à les partager
04:08
avec d'autres acteurs malicieux
04:09
qui essayent aussi de Pwn
04:11
ces mêmes systèmes.
04:13
La bombe de carpet a aussi été très active
04:16
au cours des dernières années,
04:17
la poussée d'attaques.
04:19
Cela signifie qu'une attaque DDoS
04:21
va bouger rapidement
04:23
à travers toute l'espace d'adresse,
04:25
l'espace d'adresse IP
04:26
qui est transporté à travers votre réseau
04:29
ce qui rend très difficile
04:30
de rediriger le trafic
04:32
pour centraliser ou localiser le scrubbing.
04:34
Vous devez donc aller vers
04:36
la détection distribuée
04:38
et les capacités de mitigation.
04:40
Nous avons vu des infrastructures DNS
04:42
être attaquées par la torture d'eau
04:45
ou des demandes de domaines non existants.
04:47
Et puis, nous avons des amplificateurs super
04:50
où vous pouvez être familier
04:52
avec l'idée de réflexion et d'amplification
04:54
où vous envoyez un petit message
04:56
à un service
04:57
qui, malheureusement,
04:58
envoie une réponse large
05:00
à une adresse de source
05:03
mais avec les amplificateurs super,
05:05
les mauvais garçons
05:06
trouvent des systèmes
05:08
que vous pouvez programmer
05:09
pour envoyer
05:10
pas seulement 100 fois
05:11
les données
05:12
ou une réponse large
05:13
mais qui continueront à l'envoyer
05:14
même si vous arrêtez d'en demander.
05:16
Donc,
05:17
ils attaquent toutes les vulnérabilités
05:20
ou la routine de tests mal conçue
05:22
et l'utilisent
05:23
quand c'est nécessaire
05:25
pour attaquer les ressources
05:27
sur l'Internet IP public.
05:31
Quand il s'agit des attaques
05:35
que je vais mentionner
05:37
liées à l'évolution de l'HTTP,
05:41
nous avons des choses très intéressantes
05:43
qui se passent
05:44
et nous ne savons même pas
05:45
ce qui va se passer
05:46
dans les prochaines années
05:47
en termes d'exploits dans ce domaine.
05:49
Donc,
05:50
les vecteurs d'attaque,
05:51
nous avons des exploits
05:52
de vulnérabilités anciennes
05:54
et nous trouvons aussi
05:56
des vulnérabilités
05:57
dans les nouveaux protocoles.
05:58
Cela se passe
05:59
en même temps
06:00
et souvent,
06:01
dans une attaque multivectorale,
06:02
elles peuvent être mélangées
06:03
à grand effet.
06:06
Une autre chose
06:07
que nous trouvons
06:08
c'est que DDoS
06:09
ou DOS
06:10
prend toutes sortes de formes.
06:11
À droite,
06:12
je vous montre
06:14
quelques types de DOS
06:17
que vous pourriez entendre aujourd'hui.
06:19
L'année dernière,
06:20
nous avions des DOS Ops
06:22
où l'attaquant a trouvé un moyen
06:24
à travers un credentiel volé
06:27
d'encrypter l'utilisateur
06:30
pour propager
06:31
ses nouvelles routes
06:32
et les prendre en ligne.
06:34
Nous avons eu
06:36
plus d'exemples
06:37
de DDoS permanents
06:38
où le flash
06:40
ou d'autres techniques
06:41
sont utilisées
06:42
pour désactiver les systèmes
06:43
permanentement
06:44
pour ne pas pouvoir
06:45
les recharger
06:46
ou les réutiliser.
06:47
Et puis,
06:48
plus récemment,
06:49
dans l'environnement actuel,
06:50
nous avons des DDoS excuses
06:51
où,
06:52
quand vous avez
06:53
un système mal conçu
06:54
qui ne peut pas
06:55
recharger légitimement,
06:56
vous le blâmez
06:57
sur un pays
06:58
et vous dites
06:59
qu'ils vous ont DDoSé
07:01
plutôt que d'admettre
07:02
que vous avez
07:03
un système mal engineé.
07:05
Nous avons aussi,
07:06
bien sûr,
07:07
des DDoS
07:08
seuls infligés
07:09
où les gens
07:10
ne sont pas prudents
07:11
avec leurs tests
07:12
ou leurs nouvelles softwares
07:14
et prennent peut-être
07:15
tous les PC Windows
07:17
dans le monde
07:18
en ligne
07:19
pendant quelques jours.
07:20
Donc,
07:21
il y a beaucoup
07:22
de différents types
07:23
de DDoS
07:24
qui se produisent
07:25
ces jours-ci.
07:26
Mais je vais me concentrer
07:27
ici sur l'évolution
07:28
dans le contexte
07:29
spécifique
07:30
de l'HTTP3.
07:32
Donc,
07:33
quand nous détectons
07:34
des DDoS,
07:35
et c'est la spécialité
07:36
de l'entreprise
07:37
dont je travaille,
07:38
nous essayons
07:39
de regarder
07:40
tout ce qui est disponible
07:41
sur les paquets
07:42
qui voyagent
07:43
sur la réseau.
07:44
Donc,
07:45
chaque paquet
07:46
que nous recevons,
07:47
nous regardons
07:48
la longueur
07:49
du paquet,
07:50
les flèches
07:51
qui pourraient être mises,
07:52
les options sélectionnées,
07:53
d'où il vient,
07:54
d'où il va,
07:55
le TTL,
07:56
les ports de source
07:57
en utilisation,
07:58
le niveau de fragmentation,
07:59
les protocoles.
08:00
Donc,
08:01
nous prenons tous
08:02
ces points de données
08:03
effectivement,
08:04
extraitons des fonctionnalités
08:05
utiles
08:06
d'eux
08:07
dans le style
08:08
de l'apprentissage
08:09
de machines
08:10
et utilisons ces fonctionnalités
08:11
pour essayer
08:12
et décider
08:13
si c'est légitime
08:14
ou maléfique.
08:15
Et,
08:16
de plus en plus,
08:17
avec nos clients,
08:18
nos clients
08:19
et les réseaux
08:20
que vous construisez,
08:21
nous examinons
08:22
toutes les sources disponibles
08:23
d'informations de paquets.
08:24
Nous mirons les paquets,
08:25
nous les prenons
08:26
de S-FLOW,
08:27
IPFIX,
08:28
FLOW,
08:29
EBPF,
08:30
SHIMS.
08:31
Il n'y a pas vraiment
08:32
d'importance
08:33
de la source.
08:34
Les données viennent
08:35
comme une excellente ressource
08:36
et nous extravions
08:37
les fonctionnalités
08:38
d'eux
08:39
et nous examinions
08:40
les indicateurs
08:41
de l'activité DDoS.
08:42
Nous examinons
08:43
également
08:44
le payload.
08:45
Si ce n'est pas encrypté,
08:46
nous pouvons
08:47
examiner
08:48
tous les éléments
08:49
autour de l'encryption
08:50
qui pourraient indiquer
08:51
qu'il s'agit
08:52
d'un paquet maléfique
08:53
plutôt que d'un transfert
08:54
légitime
08:55
que vos clients
08:56
souhaitent maintenir.
08:57
Parce que quand vous
08:58
vous battez contre DDoS,
08:59
ce n'est pas seulement
09:00
une question
09:01
de bloquer correctement
09:02
des paquets mauvais,
09:03
vous voulez s'assurer
09:04
que vous ne bloquez pas
09:05
correctement
09:06
des paquets bons
09:07
et bien.
09:08
C'est ce que nous faisons
09:09
avec le DDoS.
09:10
C'est ce que nous faisons
09:11
avec le DDoS.
09:12
C'est ce que nous faisons
09:13
avec le DDoS.
09:14
C'est ce que nous faisons
09:15
avec le DDoS.
09:16
Alors,mis-à-mins,
09:17
nous faisons des bâtiments
09:18
de bonnes paquetes
09:19
et des falses positives
09:20
tout en nous tirant
09:21
des pieds
09:22
en termes de protection
09:23
des ressources importantes.
09:26
Alors, en passant au HTTP3,
09:29
l'adoption se déroule
09:30
autour de 30%
09:33
actuellement
09:34
pour transactions
09:36
sur le Web
09:37
et sur Internet.
09:39
Cela semble être
09:40
assez explicable
09:42
et il y a eu
09:43
de bonnes études
09:44
pour que nous puissions
09:45
ou des CDNs comme Cloudflare.
09:49
Nous pouvons consulter des étudiants
09:51
qui font des études et analysent les données.
09:54
Les références sont ici.
09:57
Mais ce qui se passe, c'est que les applications
10:00
qui bénéficient vraiment du temps de réponse
10:03
plus bas et plus rapide de l'HTTP3
10:06
sont celles qui se déplacent le plus rapidement
10:08
dans ce protocole.
10:10
Les communications machine-à-machine
10:12
ne sont pas si inquiétantes
10:14
par rapport au temps de réponse.
10:16
Elles ne s'inquiètent pas s'ils obtiennent
10:18
la réponse dans un seconde ou deux.
10:21
C'est juste une machine,
10:22
et ça prend la même quantité de calcul
10:24
pour lire le résultat.
10:26
Même si c'est un LLM
10:29
qui scanne l'Internet
10:31
pour l'information à entraîner,
10:33
ça n'a pas d'importance
10:35
s'il l'obtient dans un seconde ou quelques secondes.
10:37
Mais les applications utilisant l'UX,
10:40
l'expérience utilisateur est très importante.
10:42
Elles ont été rapides à se déplacer à l'HTTP3
10:45
pour obtenir leurs complétions automatiques
10:48
sur l'application Maps
10:50
ou leur statut d'autre très rapidement
10:53
pour les applications mobiles, etc.
10:55
Les appareils Legacy et IoT sont toujours là-bas.
10:59
Ils sont là-bas parce qu'ils sont vieux
11:01
ou parce qu'ils n'ont pas vraiment
11:03
les conditions demandantes
11:06
de leurs communications.
11:09
Ils sont toujours là-bas,
11:11
comme vous pouvez le voir
11:13
dans la ligne bleue noire,
11:15
en haut à droite,
11:17
pour les communications HTTP 1.x.
11:20
L'encryption, HTTPS,
11:22
plus de 90% du trafic,
11:25
et la plupart des sites majeurs
11:27
utilisent maintenant HTTP3
11:29
pour une expérience utilisateur meilleure.
11:31
HTTP3 est réellement
11:34
pour DDoS dans de nombreuses façons.
11:36
Vous avez probablement entendu
11:38
ou même expérimenté
11:40
les bénéfices de HTTP3.
11:42
Mais d'un point de vue DDoS,
11:44
le protocole de transport
11:46
précédent discret
11:48
de TCP,
11:50
l'encryption de TLS
11:52
et le protocole Web
11:54
de HTTP2
11:56
étaient des constructions
11:58
séparées sur le stack.
12:00
Dans HTTP3,
12:02
on a changé d'utiliser UDP
12:04
pour le transport
12:06
et on a regroupé l'encryption
12:08
avec QUIC
12:10
pour soutenir
12:12
le protocole HTTP3 lui-même.
12:14
Certaines méthodes d'attaque
12:16
traditionnelles de DDoS
12:18
s'appliquent encore dans le monde
12:20
de HTTP3,
12:22
comme QUIC Reflections, QUIC Floods.
12:24
Mais une chose à noter pour DDoS,
12:26
c'est qu'on a perdu le TCP Handshake
12:28
dans le CLEAR,
12:30
que l'on utilisait pour valider
12:32
que la demande n'était pas spoofée
12:34
et que l'on devait la garder à l'esprit.
12:36
Cela a maintenant été supprimé
12:38
par le protocole QUIC.
12:40
Une autre chose,
12:42
c'est que l'UDP est un protocole
12:44
très populaire de DDoS
12:46
pour beaucoup d'exploits
12:48
qui ont été utilisés au cours des années.
12:50
Donc le trafic QUIC est mélangé
12:52
plus lentement
12:54
avec le trafic mauvais.
12:56
Avant,
12:58
beaucoup de consommateurs
13:00
pouvaient juste changer de UDP
13:02
sur les serveurs d'application
13:04
et permettre au TCP
13:06
de les protéger des attaques.
13:08
HTTP3 est toujours en encryption.
13:10
Ce n'est pas une option.
13:12
Cela présente un défi particulier.
13:14
Ce qui nous laisse,
13:16
c'est que quand on regarde le stack HTTP,
13:18
il y avait tous ces interchanges
13:20
qui se déroulaient.
13:22
Au dessus, ils étaient dans le CLEAR
13:24
et on pouvait les utiliser pour détection de DDoS
13:26
ou détection de spoof.
13:28
Ils étaient bien compris
13:30
quand on s'est déplacé au QUIC
13:32
avec HTTP3.
13:34
Cela a été compressé
13:36
et plus de choses sont en encryption.
13:38
Alors, même si c'est plus rapide
13:40
pour l'expérience de l'utilisateur,
13:42
c'est en fait plus difficile
13:44
de déterminer
13:46
le potentiel d'utilisation du bot, etc.
13:48
Cela permet aussi
13:50
d'obtenir des demandes
13:52
qui peuvent être utilisées
13:54
pour l'overload des ressources.
13:56
En QUIC et HTTP3,
13:58
il y a l'option Cryptime
14:00
qui permet de paqueter les demandes
14:02
avec le Hello initial
14:04
ou plutôt le reutilisation
14:06
d'un matériel d'encryption
14:08
pour le Hello.
14:10
Cela peut aussi vous exposer
14:12
à des attaques de replay
14:14
ou à des attaques de DDoS
14:16
d'un bot managé
14:18
qui peut délivrer
14:20
beaucoup de processus.
14:22
Le nouveau protocole
14:24
est une expérience de l'utilisateur
14:26
et nous ne savons pas
14:28
où cela va nous emmener.
14:30
En général, HTTP3 est meilleur
14:32
que HTTP2.
14:34
Sur ce chart, vous pouvez voir
14:36
que les vulnérabilités
14:38
prévues pour DDoS
14:40
et HTTP2,
14:42
les bleus sombres,
14:44
sont les uniques
14:46
liées à HTTP3,
14:48
mais nous espérons
14:50
que de nouveaux exploits
14:52
seront découverts.
14:54
Il y a des bénéfices
14:56
dans l'expérience de l'utilisateur,
14:58
la légitimité et l'efficacité,
15:00
mais nous espérons
15:02
qu'il y aura
15:04
plus de nouvelles techniques
15:06
qui seront développées
15:08
autour d'elle
15:10
que nous ne comprenons pas
15:12
et que nous devrons
15:14
réagir.
15:16
Une autre chose
15:18
qui se passe
15:20
c'est l'identité
15:22
et l'identité
15:24
de l'utilisateur.
15:26
Merci pour votre attention.
Recommandations
24:29
|
À suivre
FRnOG 41 - Pierre Guillaume & Philippe Bourcier : Au secours, l'IA m'a tuer
Vidéos des réunions FRnOG
02/04/2025
13:28
FRnOG 41 - Charles Huot : Une nouvelle génération de centre de données, les AI infrastructure factory
Vidéos des réunions FRnOG
02/04/2025
15:24
FRnOG 41 - Andrey Slastenov : eBPF in modern networks
Vidéos des réunions FRnOG
02/04/2025
12:27
FRnOG 38 - Jérôme Meyer : DDoS Update / Fear the botnet
Vidéos des réunions FRnOG
07/10/2023
24:45
FRnOG 41 - (sound fixed) Pierre Beyssac & Bill Woodcock : Centipede-RTK & Millipede: Centimeter-Level Outdoor Geolocation
Vidéos des réunions FRnOG
02/04/2025
16:10
FRnOG 41 - Nine : Mais c’est quoi ?
Vidéos des réunions FRnOG
02/04/2025
19:56
FRnOG 41 - Emmanuel Faure : JO PARIS 2024 / Enjeux des Télécommunications
Vidéos des réunions FRnOG
02/04/2025
38:29
FRnOG 41 - Table-Ronde : Futur du Transport et de l'Optique ?
Vidéos des réunions FRnOG
02/04/2025
13:24
FRnOG 41 - Raoul Sokoudjou : Complémentarité Architecture OTN/Photonique et IP/MPLS
Vidéos des réunions FRnOG
02/04/2025
24:45
FRnOG 41 - Pierre Beyssac & Bill Woodcock : Centipede-RTK & Millipede: Centimeter-Level Outdoor Geolocation
Vidéos des réunions FRnOG
01/04/2025
15:06
FRnOG 41 - Grégory Perrot : Air Force Wan, le réseau DWDM next gen sur l'infra RTE
Vidéos des réunions FRnOG
01/04/2025
17:26
FRnOG 41 - Laurent Guiraud : Increasing Capacity in WDM/OTN Optical Transmission System
Vidéos des réunions FRnOG
01/04/2025
15:04
FRnOG 40 - Ionathan Noblins : Introduction aux enjeux de la directive NIS2 pour le secteur des télécommunications
Vidéos des réunions FRnOG
02/10/2024
26:56
FRnOG 40 - Gregory Cauchie : Confessions d’un greenwasher
Vidéos des réunions FRnOG
29/09/2024
14:45
FRnOG 40 - Jérôme Nicolle : Câbles Sous-Marins dans les Antilles
Vidéos des réunions FRnOG
29/09/2024
23:09
FRnOG 40 - Thomas Holterbach : GILL, a new BGP routes collection platform
Vidéos des réunions FRnOG
29/09/2024
20:58
FRnOG 40 - Pim van Pelt : VPP: A 100Gbps/100Mpps+ BGP/OSPF router with a single IPv4 address
Vidéos des réunions FRnOG
29/09/2024
58:37
FRnOG 40 - Table-Ronde: Défis et Enjeux de l'IA (Infrastructure, Puissance, Souveraineté et Antitrust dans l'Ère des LLMs)
Vidéos des réunions FRnOG
29/09/2024
12:51
FRnOG 40 - Olivier Lambert : Plateforme de Virtualisation Open-Source
Vidéos des réunions FRnOG
29/09/2024
15:04
FRnOG 40 - Valentin D'Emmanuele : 5G Privée vs Wi-Fi, Révolution de la Connectivité pour les Entreprises
Vidéos des réunions FRnOG
29/09/2024
13:43
FRnOG 40 - Thien Duc Nguyen : “Allo, c’est coupé ! Ça remonte quand ?” – ReX d'un incident national
Vidéos des réunions FRnOG
29/09/2024
41:09
FRnOG 39 - Table-Ronde - Hardware startups in France, is it even possible ? avec Erfane Arwani (Biomemory), Franscesco Manegatti (NcodIN), Khaled Maalej (Vsora), Philippe Notton (SiPearl), Joel Courtois (P4S)
Vidéos des réunions FRnOG
29/04/2024
7:22
FRnOG 39 - Khaled Maalej : Software friendly solution for new levels of supercomputing
Vidéos des réunions FRnOG
29/04/2024
9:51
FRnOG 39 - Philippe Notton : Comment concevoir et déployer un CPU haute performance Européen ?
Vidéos des réunions FRnOG
29/04/2024
15:26
FRnOG 39 - François Courvoisier : La cybersécurité des infrastructures réseau - haute coûture vs. haute performance
Vidéos des réunions FRnOG
28/04/2024