Académique Documents
Professionnel Documents
Culture Documents
Sommaire
1 Les attaques DDoS, un risque bien réel ................................................................................................................ 3
5 Récapitulatif .............................................................................................................................................................. 16
5.1 Variantes de solution ........................................................................................................................................... 16
5.2 Potentiel de dangers et de dommages ............................................................................................................ 17
5.3 Managed Service ................................................................................................................................................... 17
6 Glossaire ..................................................................................................................................................................... 18
La présente documentation technique a été élaborée selon les paramètres actuellement connus. La solution technique utilisée lors de l’implémentation
peut être différente. Nous restons à votre disposition pour toute question ou remarque concernant la présente documentation technique.
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 2/18
DDoS Protection Service
(Distributed Denial of Service)
2 Description du problème
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 3/18
DDoS Protection Service
(Distributed Denial of Service)
botnet ne constate aucune perte de performances lors d’une attaque en cours pendant qu’il travaille ou
surfe sur le net. Le nombre d’ordinateurs prenant part à une attaque peut aller de quelques centaines à
plusieurs centaines de milliers à la fois. Les PC impliqués dans une attaque peuvent être intégrés dans
Internet à l’échelle nationale, internationale ou intercontinentale. Dans ces attaques par déni de service
distribué (Distributed Denial-of-Service – DDoS), l’attaquant exploite les performances cumulées de
plusieurs PC. Ceci explique pourquoi il est possible de paralyser même des systèmes en ligne ultra-puissants
équipés de connexions réseau à large bande passante. En effet, ces réseaux fournissent eux-mêmes la
bande passante nécessaire.
2.1.3 Attaque DDoS à partir d’une adresse IP légitime
Une forme particulière d’attaque est l’attaque DRDoS (Distributed Reflected Denial of Service). Dans ce cas,
l’attaquant n’envoie pas les paquets de données directement à la victime ciblée, mais à des services Internet
fonctionnant de façon régulière. Il saisit toutefois comme adresse d’expéditeur l’adresse IP de la victime. De
cette manière, il devient pratiquement impossible pour la victime attaquée de déterminer l’origine de
l’attaque. On appelle aussi «IP Spoofing» ce type de demandes de connexion falsifiées. La réponse à celles-ci
et la saturation du système qui en résulte constituent pour la victime l’attaque DoS proprement dite.
2.1.4 Motivation des attaques DDoS
L’origine et les motifs de telles attaques sont divers et variés. Ils vont de l’insouciance «juvénile» de mordus
d’informatique sans motivation financière jusqu’aux actions de vengeance ou de protestation contre une
société ou une organisation, en passant par des organisations professionnelles de piratage informatique.
Ces dernières permettent à toute personne de commander et de payer par carte de crédit des attaques DDoS
via des portails en ligne. En contrepartie de sommes relativement modiques, des attaques gérées, par ex. sur
une durée de 24 heures, sont proposée en guise de test de résistance. Il n’est pas rare que des menaces
graves soient adressées à la victime ou que le racket soit à la base de telles attaques. Les organisations
professionnelles agissent clairement dans leur propre intérêt ou pour le compte de tiers.
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 4/18
DDoS Protection Service
(Distributed Denial of Service)
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 5/18
DDoS Protection Service
(Distributed Denial of Service)
§ Scénario 2
Le site Internet d’une entreprise est bloqué sans préavis par une attaque DDoS pour des raisons
inconnues. Lors de l’attaque, la victime reçoit par e-mail (par ex. via un accès Internet alternatif) ou par
fax une lettre de revendication la sommant de verser un montant sur un compte bancaire dans un délai
donné ou de remplir une autre condition. Si le paiement n’est pas effectué à l’expiration du délai fixé, les
attaques seront poursuivies.
§ Scénario 3
La plateforme en ligne d’une entreprise est attaquée sans aucun avertissement préalable. Le but d’une
telle action est de porter préjudice à l’entreprise de façon durable, l’attaque pouvant durer de quelques
minutes à plusieurs semaines.
Analyse
L’attaquant communique avec les différents maîtres via une connexion Internet (souvent à partir d’une
adresse IP usurpée). En utilisant des outils de scanning, il a pu obtenir leur adresse IP ou identifier les ports
TCP ou UDP ouverts. Des cibles d’attaque potentielles et leurs points faibles sont repérés via Internet
Security Scanner. De la même façon, l’attaquant accède aussi aux droits root sur les serveurs et recherche
simultanément les services et ports actifs («ouverts») sur les systèmes.
Création de scripts
Après avoir identifié les failles de sécurité, l’attaquant crée un script (= un programme à exécution
automatique) et le dépose sur les comptes volés. Ces scripts lui permettront ultérieurement d’exploiter
précisément ces failles de sécurité. Pour la création des fichiers scripts, l’attaquant utilise souvent des boîtes
à outils existantes, ce qui simplifie énormément la tâche. Une fois cela fait, l’attaquant détermine ses futurs
démons et maîtres. Des mémoires supplémentaires sont utilisées sur les systèmes maîtres pour y stocker les
«fichiers binaires précompilés» («pre-compiled binaries») des démons. Ensuite, l’attaquant crée à nouveau
un script, qui utilise la liste de machines «dont il a pris possession» et génère un autre script. Ce dernier
exécute automatiquement le processus d’installation en arrière-plan.
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 6/18
DDoS Protection Service
(Distributed Denial of Service)
Installation de scripts
Cette automatisation permet de créer un réseau DoS très étendu sans que les véritables propriétaires des
systèmes ne s’en rendent compte. Les programmes maîtres, qui jouent un rôle clé dans le réseau de
l’attaquant, sont finalement installés de façon minutieuse. Un «Rootkit» (kit administrateur) est installé en
option pour cacher la présence des programmes, fichiers et connexions réseau. Les programmes maîtres
sont principalement installés sur ce que l’on appelle des «Primary Name Server Hosts». Ces derniers étant
conçus pour un trafic réseau extrêmement volumineux, un grand nombre de connexions réseau peut être
cumulé sur ces serveurs. Ceci a deux avantages majeurs pour l’attaquant. D’une part, la charge de base
(processeurs et réseau) masque très bien le trafic réseau supplémentaire du maître. D’autre part, ces
serveurs ne seront pas retirés de manière précipitée du réseau, même en cas de soupçon de DDoS, car ils
sont très importants pour le propre réseau.
Début de l’attaque
Par la suite, l’attaquant envoie aux maîtres la commande d’attaque accompagnée des données de la victime
(adresse IP, numéro de port, type d’attaque, horaire de début et de fin). Ceci est le seul trafic provenant de sa
part lors de l’attaque. Après le signal de départ, la gestion et la coordination de l’attaque sont assumées par
les maîtres (= ordinateurs jouant le rôle de serveurs), qui gèrent chacun un certain nombre de démons
(processus tournant en arrière-plan). Pour éviter que la détection d’un maître par un analyseur de réseau ne
rende tous les démons inutilisables, les attaquants regroupent les maîtres en subdivisions à finalités
spécifiques. Les démons tournent pour leur part sur d’autres machines et peuvent être largement répartis
sur le réseau. L’attaque proprement dite n’a lieu qu’après intervention des démons sur ordre du maître. Il
peut s’agir, par exemple, d’une attaque SYN Flood où l’attaquant envoie un paquet au système victime afin
d’établir une connexion TCP (paquets SYS). Le système victime réserve alors un port et renvoie ce que l’on
appelle un paquet SYN-ACK. L’attaquant ayant toutefois spoofé son adresse IP (c’est-à-dire qu’il n’utilise pas
sa propre adresse IP), l’expéditeur ne reçoit aucune confirmation en retour. Le système victime répète
l’action et rejette définitivement la connexion réservée après une durée prédéterminée, qui peut être de
plusieurs minutes selon le système d’exploitation. Si cet établissement de connexion n’est pas exécuté
qu’une seule fois, mais très souvent et parallèlement, l’ordinateur va saturer en tentant de répondre aux
requêtes et finira donc par planter.
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 7/18
DDoS Protection Service
(Distributed Denial of Service)
1800 Gbps
1350 Gbps
900 Gbps
450 Gbps
0 Gbps
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
Figure 3: Évolution des attaques DDoS (© ARBOR Networks)
Trop souvent, malgré leur potentiel de menace élevé, les attaques DDoS
restent malheureusement insuffisamment voire pas du tout prises en
compte dans les analyses de risques des entreprises.
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 8/18
DDoS Protection Service
(Distributed Denial of Service)
La non-disponibilité des services en ligne peut entraîner des pertes considérables en termes de chiffre
d’affaires. Ceci sans compter l’influence négative et durable sur l’image de la société et sur la
confiance des clients vis-à-vis de l’entreprise attaquée, notamment lorsque la part d’activités en ligne
de cette dernière est importante. Il est donc indispensable de disposer des outils de défense anti-DDoS
appropriés et des services correspondants proposés par des professionnels spécialisés, afin de pour
pouvoir détecter et parer toute attaque DDoS. Ils constituent la manière la plus rapide et la plus sûre
de maintenir le fonctionnement de sa propre plateforme de services en ligne. En effet, cela renforce
d’une part la confiance de la clientèle et assure, d’autre part, la constance des chiffres d’affaires de la
plateforme.
Figure 5: Durée moyenne requise pour la défense contre les attaques DDoS (© ARBOR Networks)
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 9/18
DDoS Protection Service
(Distributed Denial of Service)
Avantages: La technique «Blackhole» protège l’infrastructure Web contre les attaques, même si ce n’est
que de manière partielle.
Inconvénient: Les flux de données étant supprimés dans leur intégralité, l’entreprise ne peut plus recevoir
des données en provenance de certaines portions du réseau. La lutte contre des flux de
données indésirables dans le backbone de l’ISP sur la base de la technique «Blackhole» est
complexe et requiert des connaissances approfondies en routage.
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 10/18
DDoS Protection Service
(Distributed Denial of Service)
Figure 7: Présentation du DDoS Protection Service (option du service IP-Plus Business Internet)
Avantages: Les débits de trafic sont contrôlés en permanence dans le Backbone sur la base du DDoS Protection
Service. En cas d’écart par rapport à la baseline (= historique de bande passante enregistré en continu
pendant 24 heures), une alarme de niveau bas, moyen ou élevé sera générée de manière proactive
selon l’écart observé et envoyée directement aux responsables du système par e-mail, SMS, SNMP
Traps ou Syslog. Sur la base des informations d’alarme, le client peut lutter de manière ciblée contre
l’attaque DDoS, directement ou avec l’aide de l’assistance de niveau 2 ou 3 du helpdesk Swisscom.
Inconvénient:L’évaluation des anomalies du trafic requiert des connaissances approfondies dans le domaine.
Si ces connaissances ne sont pas disponibles, les spécialistes Swisscom se tiennent volontiers à
disposition, 24 h/24.
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 11/18
DDoS Protection Service
(Distributed Denial of Service)
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 12/18
DDoS Protection Service
(Distributed Denial of Service)
Les quatre étapes initiales du processus de filtrage d’une attaque DDoS sont:
1. Trafic DDoS supplémentaire
2. Détection de l’attaque DDoS indésirable
3. Alarme automatique via DDoS Protection Service
4. Activation manuelle via la plateforme de gestion de la protection anti-DDoS
Le processus de filtrage d’une attaque DDoS inclut ensuite les trois étapes suivantes:
1. Reroutage de l’attaque DDoS
2. Filtrage actif du trafic DDoS
3. Réacheminement normal du trafic légitime
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 13/18
DDoS Protection Service
(Distributed Denial of Service)
La fonction de filtrage du TMS est dans tous les cas activée par le client. En effet, la connaissance qu’il a du
fonctionnement de son réseau évitera les alarmes intempestives, qui peuvent par ex. être déclenchées par
une mise à jour logicielle programmée, susceptible d’être perçue comme une anomalie de trafic par le DDoS
Protection Service.
Les possibilités d’activation sont les suivantes:
§ Activation directe du TMS à l’aide du nom d’utilisateur/mot de passe sur un site web protégé, y
compris authentification sécurisée par un certificat client.
§ Activation ou assistance via Helpdesk, 7 j/7, 24 h/24, avec les temps de réaction suivants:
Au cas où l’accès du client à Internet serait bloqué en raison de l’attaque, l’accès au TMS pourra s’effectuer
alternativement via une connexion Mobile Unlimited, une liaison xDSL dédiée, ou par le biais d’autres
technologies d’accès Internet via un navigateur Web.
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 14/18
DDoS Protection Service
(Distributed Denial of Service)
Figure 11: Protection accrue contre les attaques DDoS avec DDoS Protection enhanced
L’option DDoS Protection enhanced étend le niveau de sécurité sur l’ensemble des sept couches OSI. Les
principaux avantages sont les suivants:
• Protection immédiate au niveau des applications contre les attaques DDoS susceptibles de
compromettre la disponibilité des services et des applications.
• Détection et blocage automatique des attaques DDoS, avant que celles-ci n’entravent les
performances des services. L’intervention de l’utilisateur requise étant minime voire inexistante, la
charge de travail des responsables de la sécurité informatique en est allégée.
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 15/18
DDoS Protection Service
(Distributed Denial of Service)
5 Récapitulatif
3. La troisième solution, et la plus efficace, consiste à détecter l’attaque DDoS et à la filtrer avant
qu’elle n’atteigne le backbone de l’ISP. Cette configuration permet de filtrer le trafic malveillant tout
en assurant le routage du trafic légitime vers le service Web. Le mode en ligne peut ainsi être
totalement assuré.
L’option DDoS Protection enhanced offre une protection supplémentaire grâce à l’analyse locale
permanente du trafic entrant des couches OSI 7.
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 16/18
DDoS Protection Service
(Distributed Denial of Service)
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 17/18
DDoS Protection Service
(Distributed Denial of Service)
6 Glossaire
Terme Explication
AS Autonomous System
Blackhole Les «Blackholes» sont utilisés pour acheminer vers l’interface Null0 tous les paquets IP
envoyés à un système attaqué.
Botnet On entend par botnet un réseau commandé à distance de PC qui a été infecté par des
vers, chevaux de Troie, ou autres, et qui peut être utilisé abusivement pour mener des
attaques ciblées.
IP Internet Protocol
OSI Open System Interconnection (modèle de référence pour les réseaux de données,
composé de sept couches de communication ayant chacune une fonction distincte)
PC Personal Computer
SNMP Simple Network Management Protocol (permet de gérer des éléments du réseau tels
que les routeurs, les switches, les imprimantes, etc.)
SSL Secure Sockets Layer (protocole de chiffrement visant à sécuriser les transferts de
données)
Swisscom (Suisse) SA Numéro gratuit 0800 800 900 Dokument White Paper DDoS
Grandes Entreprises Fax gratuit 0800 800 905 Version 3.2
Case postale E-mail info.corporatebusiness@swisscom.com File BIS_IPP_WP_DDoS_mm03104-fr.docx
CH - 3050 Berne Internet https://www.swisscom.ch/fr/business.html Datum 01.05.2020 Seite 18/18