Cyber-attaque

Une cyber-attaque peut mettre votre site hors ligne. Il devient inaccessible aux visiteurs.

Pourquoi votre site Internet n’est plus en ligne ainsi que vos emails:

- cette vidéo résume plusieurs types d'attaques d'un site Internet.
- les emails hébergés sur cette adresse IP sont eux aussi affectés.
- un attaquant contrôle à distance un groupe d'ordinateurs infectés qui vont lancer l'attaque
- par exemple une attaque par DNS amplification est expliquée dans la vidéo à partir de 6:20

Exemple d’attaque DDOS reçue le 23 mars 2013 sur deux serveurs du réseau GPLHost à Atlanta et à Seattle

- la technique utilisée s'appelle " SNMP reflexion"
- deux de nos serveurs situés l'un à Seattle, l'autre à Atlanta étaient visés
- leurs adresses IP ont reçu un trafic massif UDP à destination du port 161
- la solution est le blocage du trafic à destination de cette adresse et ce port. Il s'agit de filtrer les paquets au plus près de la source (ici Internap et twtelecom)
- c'est le fournisseur d'accès du centre de données (upstream providers) qui met en oeuvre la solution dans son infrastructure
- l'attaque est contrée plus ou moins rapidement selon l'équipe technique en place dans le centre de données et ses relations avec ses fournisseurs d'accès.
- l'hébergeur, propriétaire du serveur, a peu de moyen pour aider à résoudre l'attaque: il signale le problème au centre de données, puis suit le déroulement, suggère éventuellement des solutions.
- ce même jour deux de nos serveurs étaient attaqués: celui de Seattle a pu être en ligne à nouveau en quelques heures, celui sur Atlanta a pris beaucoup plus de temps.

SNMP DDoS Attacks

SNMP DDoS AttacksPour l'aspect technique, cette publication en Anglais décrit le mécanisme et fait des recommandations. L'auteur, Comcast, est un membre du BITAG (Broadband Internet Technical Avisory Group).

Cyberattaque
Pour une description plus générale, voir l'article de Wikipedia sur les cyber-attaques

Executive Summary (partial)

A BITAG member and Internet Service Provider (ISP), Comcast, has observed large-scale Simple Network Management Protocol (SNMP) Reflected Amplification Distributed Denial of Service (DDoS) attacks. These attacks are significant and have been observed to result in tens of gigabits to over one hundred gigabits per second of SNMP traffic sent to attack targets from multiple broadband networks. These attacks have been hours long in duration, disruptive for attack targets, and very challenging for targets to mitigate. The conditions that make this attack possible exist on many types networks, regardless of access network technology (DOCSIS, DSL, fiber, etc.), and regardless of geographic location...