FRnOG 41 - Ashley Stephenson : DDoS - from SYN-flood to HTTP/3 - Vidéo Dailymotion

Vidéos des réunions FRnOG

FRnOG 41 - Ashley Stephenson : DDoS - from SYN-flood to HTTP/3

Transcript

00:00Aujourd'hui, je vais vous parler de mon expérience

00:05au cours des 10 dernières années

00:07dans la lutte contre DDoS sur les réseaux que vous construisez et que vous opérez.

00:11Je vais aussi vous parler de l'évolution de DDoS

00:16et parler spécifiquement des changements

00:20liés à l'utilisation de HTTP3.

00:24Je suis le CTO et le CPO de Carrera Network Security.

00:28Comme je l'ai mentionné, c'est une entreprise américaine

00:31qui a de nombreux clients autour du monde, mais spécifiquement en Europe.

00:36Quand je pensais à un message général à offrir aujourd'hui,

00:41j'ai utilisé la règle des 10.

00:44Dans ces 10 années que je m'occupe ici,

00:48la taille des attaques a augmenté environ 10 fois.

00:52Que ce soit en taille de bandes, en bits par seconde,

00:57ou en taille de paquets, en paquets par seconde.

01:01Il est maintenant commun d'obtenir des attaques de terabytes

01:04et d'attaques de plus de 100 millions de paquets par seconde,

01:09ce qui va challenger la plupart des infrastructures.

01:12Je suis sûr que la plupart des infrastructures que vous offrez

01:15ou les clients que vous soutenez

01:17ne souhaitent pas voir une baisse d'affichage prévue dans cette taille.

01:22Ce que nous trouvons aussi quand nous regardons

01:24le grand nombre de statistiques,

01:26c'est que chaque fois que vous déplacez une barrière

01:30ou que vous mesurez la bande,

01:32vous voyez 10 fois plus d'attaques.

01:34Si vous voyez 10 attaques sur votre réseau à 1 terabyte,

01:39vous verrez probablement 100 attaques à 100 gigabits,

01:43et 1 000 attaques à 10 à 100 gigabits.

01:48Il y a donc une explosion exponentielle

01:51dans le nombre d'attaques au cours de la baisse de taille.

01:54On a vu cela d'année en année,

01:57donc je ne crois pas que cela va changer dans le futur.

02:01On a aussi vu une grande augmentation

02:04dans le nombre de vecteurs d'attaque.

02:06Ils évoluent continuellement,

02:08et de nouveaux vecteurs apparaissent chaque année.

02:11C'est donc quelque chose

02:13que nous allons rencontrer au cours des 10 prochaines années.

02:16En général, c'est en suivant le développement de l'Internet.

02:20Si vous construisez de plus grandes réseaux,

02:23si vous connectez des fibres optiques plus rapides,

02:27ou si vous construisez de plus grands centres d'accueil

02:30pour l'intelligence artificielle,

02:32ou pour la CPU traditionnelle,

02:34DDoS va se développer avec eux.

02:37Les chiffres que je vous montre sont des chiffres

02:39que j'ai pris de nos statistiques l'an dernier.

02:42Vous voyez que l'un de ces réseaux

02:44a plusieurs attaques,

02:47500 gigabits ou plus.

02:50Si c'est la taille de l'attaque détectée

02:53dans ce réseau,

02:55l'attaque qui a été lancée sur Internet

02:57est probablement multi-terabit.

02:59Parce que, si on mesure à la source,

03:02les attaques DDoS sont typiquement

03:05trois ou quatre fois plus grandes

03:07que la taille qu'elles montrent

03:09à l'ASN de l'attaque.

03:14En termes d'attaques vecteurs,

03:16nous voyons aussi des nouveaux vecteurs apparaître,

03:19ou des anciens vecteurs qui sont renouvelés

03:22ou reutilisés avec les dernières technologies

03:25ou vitesses.

03:26Sur le côté droit,

03:28pour référence, j'ai listé un grand rang

03:30de vecteurs d'attaque.

03:33Les botnets sont particulièrement actifs

03:35en ce moment.

03:36Et, bien qu'historiquement,

03:38les botnets aient été implémentés

03:40avec des systèmes Pwn

03:42ou des systèmes qui ont été retenus

03:44par le bot-master ou le bot-herder,

03:47c'est devenu si cher maintenant

03:49juste pour acheter des ressources de computer

03:52que nous voyons des bots

03:54qui sont achetés.

03:56Les gens achètent simplement le computer

03:58qu'ils ont besoin,

03:59où ils l'ont besoin,

04:00pour lancer leurs attaques.

04:01Cela signifie qu'ils sont en plein contrôle

04:03de ces ressources des bots

04:06et qu'ils n'ont pas à les partager

04:08avec d'autres acteurs malicieux

04:09qui essayent aussi de Pwn

04:11ces mêmes systèmes.

04:13La bombe de carpet a aussi été très active

04:16au cours des dernières années,

04:17la poussée d'attaques.

04:19Cela signifie qu'une attaque DDoS

04:21va bouger rapidement

04:23à travers toute l'espace d'adresse,

04:25l'espace d'adresse IP

04:26qui est transporté à travers votre réseau

04:29ce qui rend très difficile

04:30de rediriger le trafic

04:32pour centraliser ou localiser le scrubbing.

04:34Vous devez donc aller vers

04:36la détection distribuée

04:38et les capacités de mitigation.

04:40Nous avons vu des infrastructures DNS

04:42être attaquées par la torture d'eau

04:45ou des demandes de domaines non existants.

04:47Et puis, nous avons des amplificateurs super

04:50où vous pouvez être familier

04:52avec l'idée de réflexion et d'amplification

04:54où vous envoyez un petit message

04:56à un service

04:57qui, malheureusement,

04:58envoie une réponse large

05:00à une adresse de source

05:03mais avec les amplificateurs super,

05:05les mauvais garçons

05:06trouvent des systèmes

05:08que vous pouvez programmer

05:09pour envoyer

05:10pas seulement 100 fois

05:11les données

05:12ou une réponse large

05:13mais qui continueront à l'envoyer

05:14même si vous arrêtez d'en demander.

05:16Donc,

05:17ils attaquent toutes les vulnérabilités

05:20ou la routine de tests mal conçue

05:22et l'utilisent

05:23quand c'est nécessaire

05:25pour attaquer les ressources

05:27sur l'Internet IP public.

05:31Quand il s'agit des attaques

05:35que je vais mentionner

05:37liées à l'évolution de l'HTTP,

05:41nous avons des choses très intéressantes

05:43qui se passent

05:44et nous ne savons même pas

05:45ce qui va se passer

05:46dans les prochaines années

05:47en termes d'exploits dans ce domaine.

05:49Donc,

05:50les vecteurs d'attaque,

05:51nous avons des exploits

05:52de vulnérabilités anciennes

05:54et nous trouvons aussi

05:56des vulnérabilités

05:57dans les nouveaux protocoles.

05:58Cela se passe

05:59en même temps

06:00et souvent,

06:01dans une attaque multivectorale,

06:02elles peuvent être mélangées

06:03à grand effet.

06:06Une autre chose

06:07que nous trouvons

06:08c'est que DDoS

06:09ou DOS

06:10prend toutes sortes de formes.

06:11À droite,

06:12je vous montre

06:14quelques types de DOS

06:17que vous pourriez entendre aujourd'hui.

06:19L'année dernière,

06:20nous avions des DOS Ops

06:22où l'attaquant a trouvé un moyen

06:24à travers un credentiel volé

06:27d'encrypter l'utilisateur

06:30pour propager

06:31ses nouvelles routes

06:32et les prendre en ligne.

06:34Nous avons eu

06:36plus d'exemples

06:37de DDoS permanents

06:38où le flash

06:40ou d'autres techniques

06:41sont utilisées

06:42pour désactiver les systèmes

06:43permanentement

06:44pour ne pas pouvoir

06:45les recharger

06:46ou les réutiliser.

06:47Et puis,

06:48plus récemment,

06:49dans l'environnement actuel,

06:50nous avons des DDoS excuses

06:51où,

06:52quand vous avez

06:53un système mal conçu

06:54qui ne peut pas

06:55recharger légitimement,

06:56vous le blâmez

06:57sur un pays

06:58et vous dites

06:59qu'ils vous ont DDoSé

07:01plutôt que d'admettre

07:02que vous avez

07:03un système mal engineé.

07:05Nous avons aussi,

07:06bien sûr,

07:07des DDoS

07:08seuls infligés

07:09où les gens

07:10ne sont pas prudents

07:11avec leurs tests

07:12ou leurs nouvelles softwares

07:14et prennent peut-être

07:15tous les PC Windows

07:17dans le monde

07:18en ligne

07:19pendant quelques jours.

07:20Donc,

07:21il y a beaucoup

07:22de différents types

07:23de DDoS

07:24qui se produisent

07:25ces jours-ci.

07:26Mais je vais me concentrer

07:27ici sur l'évolution

07:28dans le contexte

07:29spécifique

07:30de l'HTTP3.

07:32Donc,

07:33quand nous détectons

07:34des DDoS,

07:35et c'est la spécialité

07:36de l'entreprise

07:37dont je travaille,

07:38nous essayons

07:39de regarder

07:40tout ce qui est disponible

07:41sur les paquets

07:42qui voyagent

07:43sur la réseau.

07:44Donc,

07:45chaque paquet

07:46que nous recevons,

07:47nous regardons

07:48la longueur

07:49du paquet,

07:50les flèches

07:51qui pourraient être mises,

07:52les options sélectionnées,

07:53d'où il vient,

07:54d'où il va,

07:55le TTL,

07:56les ports de source

07:57en utilisation,

07:58le niveau de fragmentation,

07:59les protocoles.

08:00Donc,

08:01nous prenons tous

08:02ces points de données

08:03effectivement,

08:04extraitons des fonctionnalités

08:05utiles

08:06d'eux

08:07dans le style

08:08de l'apprentissage

08:09de machines

08:10et utilisons ces fonctionnalités

08:11pour essayer

08:12et décider

08:13si c'est légitime

08:14ou maléfique.

08:15Et,

08:16de plus en plus,

08:17avec nos clients,

08:18nos clients

08:19et les réseaux

08:20que vous construisez,

08:21nous examinons

08:22toutes les sources disponibles

08:23d'informations de paquets.

08:24Nous mirons les paquets,

08:25nous les prenons

08:26de S-FLOW,

08:27IPFIX,

08:28FLOW,

08:29EBPF,

08:30SHIMS.

08:31Il n'y a pas vraiment

08:32d'importance

08:33de la source.

08:34Les données viennent

08:35comme une excellente ressource

08:36et nous extravions

08:37les fonctionnalités

08:38d'eux

08:39et nous examinions

08:40les indicateurs

08:41de l'activité DDoS.

08:42Nous examinons

08:43également

08:44le payload.

08:45Si ce n'est pas encrypté,

08:46nous pouvons

08:47examiner

08:48tous les éléments

08:49autour de l'encryption

08:50qui pourraient indiquer

08:51qu'il s'agit

08:52d'un paquet maléfique

08:53plutôt que d'un transfert

08:54légitime

08:55que vos clients

08:56souhaitent maintenir.

08:57Parce que quand vous

08:58vous battez contre DDoS,

08:59ce n'est pas seulement

09:00une question

09:01de bloquer correctement

09:02des paquets mauvais,

09:03vous voulez s'assurer

09:04que vous ne bloquez pas

09:05correctement

09:06des paquets bons

09:07et bien.

09:08C'est ce que nous faisons

09:09avec le DDoS.

09:10C'est ce que nous faisons

09:11avec le DDoS.

09:12C'est ce que nous faisons

09:13avec le DDoS.

09:14C'est ce que nous faisons

09:15avec le DDoS.

09:16Alors,mis-à-mins,

09:17nous faisons des bâtiments

09:18de bonnes paquetes

09:19et des falses positives

09:20tout en nous tirant

09:21des pieds

09:22en termes de protection

09:23des ressources importantes.

09:26Alors, en passant au HTTP3,

09:29l'adoption se déroule

09:30autour de 30%

09:33actuellement

09:34pour transactions

09:36sur le Web

09:37et sur Internet.

09:39Cela semble être

09:40assez explicable

09:42et il y a eu

09:43de bonnes études

09:44pour que nous puissions

09:45ou des CDNs comme Cloudflare.

09:49Nous pouvons consulter des étudiants

09:51qui font des études et analysent les données.

09:54Les références sont ici.

09:57Mais ce qui se passe, c'est que les applications

10:00qui bénéficient vraiment du temps de réponse

10:03plus bas et plus rapide de l'HTTP3

10:06sont celles qui se déplacent le plus rapidement

10:08dans ce protocole.

10:10Les communications machine-à-machine

10:12ne sont pas si inquiétantes

10:14par rapport au temps de réponse.

10:16Elles ne s'inquiètent pas s'ils obtiennent

10:18la réponse dans un seconde ou deux.

10:21C'est juste une machine,

10:22et ça prend la même quantité de calcul

10:24pour lire le résultat.

10:26Même si c'est un LLM

10:29qui scanne l'Internet

10:31pour l'information à entraîner,

10:33ça n'a pas d'importance

10:35s'il l'obtient dans un seconde ou quelques secondes.

10:37Mais les applications utilisant l'UX,

10:40l'expérience utilisateur est très importante.

10:42Elles ont été rapides à se déplacer à l'HTTP3

10:45pour obtenir leurs complétions automatiques

10:48sur l'application Maps

10:50ou leur statut d'autre très rapidement

10:53pour les applications mobiles, etc.

10:55Les appareils Legacy et IoT sont toujours là-bas.

10:59Ils sont là-bas parce qu'ils sont vieux

11:01ou parce qu'ils n'ont pas vraiment

11:03les conditions demandantes

11:06de leurs communications.

11:09Ils sont toujours là-bas,

11:11comme vous pouvez le voir

11:13dans la ligne bleue noire,

11:15en haut à droite,

11:17pour les communications HTTP 1.x.

11:20L'encryption, HTTPS,

11:22plus de 90% du trafic,

11:25et la plupart des sites majeurs

11:27utilisent maintenant HTTP3

11:29pour une expérience utilisateur meilleure.

11:31HTTP3 est réellement

11:34pour DDoS dans de nombreuses façons.

11:36Vous avez probablement entendu

11:38ou même expérimenté

11:40les bénéfices de HTTP3.

11:42Mais d'un point de vue DDoS,

11:44le protocole de transport

11:46précédent discret

11:48de TCP,

11:50l'encryption de TLS

11:52et le protocole Web

11:54de HTTP2

11:56étaient des constructions

11:58séparées sur le stack.

12:00Dans HTTP3,

12:02on a changé d'utiliser UDP

12:04pour le transport

12:06et on a regroupé l'encryption

12:08avec QUIC

12:10pour soutenir

12:12le protocole HTTP3 lui-même.

12:14Certaines méthodes d'attaque

12:16traditionnelles de DDoS

12:18s'appliquent encore dans le monde

12:20de HTTP3,

12:22comme QUIC Reflections, QUIC Floods.

12:24Mais une chose à noter pour DDoS,

12:26c'est qu'on a perdu le TCP Handshake

12:28dans le CLEAR,

12:30que l'on utilisait pour valider

12:32que la demande n'était pas spoofée

12:34et que l'on devait la garder à l'esprit.

12:36Cela a maintenant été supprimé

12:38par le protocole QUIC.

12:40Une autre chose,

12:42c'est que l'UDP est un protocole

12:44très populaire de DDoS

12:46pour beaucoup d'exploits

12:48qui ont été utilisés au cours des années.

12:50Donc le trafic QUIC est mélangé

12:52plus lentement

12:54avec le trafic mauvais.

12:56Avant,

12:58beaucoup de consommateurs

13:00pouvaient juste changer de UDP

13:02sur les serveurs d'application

13:04et permettre au TCP

13:06de les protéger des attaques.

13:08HTTP3 est toujours en encryption.

13:10Ce n'est pas une option.

13:12Cela présente un défi particulier.

13:14Ce qui nous laisse,

13:16c'est que quand on regarde le stack HTTP,

13:18il y avait tous ces interchanges

13:20qui se déroulaient.

13:22Au dessus, ils étaient dans le CLEAR

13:24et on pouvait les utiliser pour détection de DDoS

13:26ou détection de spoof.

13:28Ils étaient bien compris

13:30quand on s'est déplacé au QUIC

13:32avec HTTP3.

13:34Cela a été compressé

13:36et plus de choses sont en encryption.

13:38Alors, même si c'est plus rapide

13:40pour l'expérience de l'utilisateur,

13:42c'est en fait plus difficile

13:44de déterminer

13:46le potentiel d'utilisation du bot, etc.

13:48Cela permet aussi

13:50d'obtenir des demandes

13:52qui peuvent être utilisées

13:54pour l'overload des ressources.

13:56En QUIC et HTTP3,

13:58il y a l'option Cryptime

14:00qui permet de paqueter les demandes

14:02avec le Hello initial

14:04ou plutôt le reutilisation

14:06d'un matériel d'encryption

14:08pour le Hello.

14:10Cela peut aussi vous exposer

14:12à des attaques de replay

14:14ou à des attaques de DDoS

14:16d'un bot managé

14:18qui peut délivrer

14:20beaucoup de processus.

14:22Le nouveau protocole

14:24est une expérience de l'utilisateur

14:26et nous ne savons pas

14:28où cela va nous emmener.

14:30En général, HTTP3 est meilleur

14:32que HTTP2.

14:34Sur ce chart, vous pouvez voir

14:36que les vulnérabilités

14:38prévues pour DDoS

14:40et HTTP2,

14:42les bleus sombres,

14:44sont les uniques

14:46liées à HTTP3,

14:48mais nous espérons

14:50que de nouveaux exploits

14:52seront découverts.

14:54Il y a des bénéfices

14:56dans l'expérience de l'utilisateur,

14:58la légitimité et l'efficacité,

15:00mais nous espérons

15:02qu'il y aura

15:04plus de nouvelles techniques

15:06qui seront développées

15:08autour d'elle

15:10que nous ne comprenons pas

15:12et que nous devrons

15:14réagir.

15:16Une autre chose

15:18qui se passe

15:20c'est l'identité

15:22et l'identité

15:24de l'utilisateur.

15:26Merci pour votre attention.

FRnOG 41 - Ashley Stephenson : DDoS - from SYN-flood to HTTP/3

Catégorie

Transcription

Recommandations