Extreme DDoS Defense

[MaxBorn]

Bonjours à tous, ca fait plaisir de revoir le forum

Je viens poser une petite question qui me trottine..

Il est bien connu que l’auto-corrélation temporelle des paquets circulant dans un réseau possède une structure fractale auto-similaire.
Ca peut paraitre étonnant au premier abord mais les données circulant sur Internet, contrairement au réseau téléphonique ne sont pas distribuées dans le temps aléatoirement (i.e ne suivent pas la distribution de Poisson et le flux n’est pas Markovien).
Le trafic Internet a une mémoire à long terme caractériser par une distribution dite "à queue lourde" paramétrer par le "facteur de Hurst".

La plupart des mécanismes avancés de détection des attaques de type DDoS (par analyse spectrale du trafic) et des recherches modernes se basent justement sur la structure fractale d’Internet pour détecter une modification du facteur de Hurst du trafic normal (et parfois aussi de la dimension fractale du réseau).

Question: Serait-il possible à des gens malintentionés de noyer (obfusquer) une attaque DDoS de telle sorte à maintenir le paramètre de Hurst constant ?
Par exemple, serait-il possible de synchroniser dans le temps les paquets envoyés sur une série temporelle auto-similaire ou plus simple sur les paquets du réseau existant ?

Pour ceux qui ont raté cet été, la DARPA, l’agence du département de la défense des USA, vient de dégager des fonds subtentiels pour les gens intelligents qui trainent peut-être ici
Liens grants.gov, le projet XD3 ou Extreme DDoS Defense.

Un tel projet de financement mis en place par la DARPA en dit long sur le pouvoir des attaques DDoS.

[supersnail]

Bonjour,

Je pense que ce serait sympatique d'essayer de rendre plus accessible ton propos, tout le monde n'a pas de doctorat en mathématiques fondamentales (on a pas mal de lycéens/personnes en licence, école d'info etc qui passent sur le forum surtout), et je dois avouer que je suis pas un crack en analyse/probabilités, mon dada c'est plutôt l'algèbre.

Anyway j'ai trouvé ça, si ça peut aider à mieux comprendre: http://projects.laas.fr/METROSEC/gallon-aussibal.pdf

[otherflow]

Bonjour MaxBorn,

Si on vulgarise ta question, tu voudrais savoir si une attaque DDOS peut échapper aux critères de surveillances avec par exemple l'utilisation une technique appliquant une récurrence mathématique biaisant l'analyse statistique pouvant servir d'élément de prise de décision sécuritaire, c'est bien cela ?

otherflow

[MaxBorn]

Merci pour les premières réponses.

Merci supersnail pour le lien, en remontant au répertoire du projet de métrologie du trafic METROSEC, il semble y avoir une grande quantité de pdf intéressants, je vais lire ca.

Oui exactement otherflow on peut résumer comme tu l'as dit .

Je suis curieux de savoir en effet s'il est possible de modifier les propriétés statistiques dans le temps, des paquets générés lors d'une attaque DDoS. Du moins pour commencer, les propriétés les plus simples de la distribution des données qui sont analysées pour la detection d'anomalie du trafic et en particulier DDoS.

Par "possible", on peut répondre à plusieurs niveaux: hardware, on peut penser par exemple que la topologie du réseau (délais, erreurs, routage des paquets) affectera toujours une distribution générée en entrée, dans le scenario où on réalise en effet une technique mathématique bien synchronisées. Si on a une pré-mesure de la structure du trafic normal, peut-être est-il aussi possible de contourner cette première limitation etc etc.

Cela amène à plein de questions intéressantes je trouve !

[gruik]

Il est bien connu que l’auto-corrélation temporelle des paquets circulant dans un réseau possède une structure fractale auto-similaire.

bien entendu c'est l'évidence même *peuf* *peuf*

+1 avec supersnail, ton propos est parfaitement indigeste

de ce que je comprends - hésites pas à me reprendre si je me plante - le propos pour les IDS est de détecter les DDoS en identifiant du trafic avec des paquets similaires qui circulent à un "rythme" relativement fixe (ou aussi bien une accélération fixe de ce rythme), et finalement ta question revient à savoir si on peut passer sous les radars d'une analyse de ce type, c'est bien ça ?

du coup est-ce que c'est dépendant de l'IDS qu'on utilise et qui a peut-être son propre seuil de tolérance ?
sauf erreur ça n'est pas quelque chose de sûr dans le sens "binaire" 0 ou 1, il y a j'imagine une marge d'erreur, quelle serait cette marge ? permettrait elle à un trafic DDoS de passer suffisamment pour avoir un impact, ou détecterait-elle du trafic légitime comme faux positif ?

le sujet est intéressant mais est-ce que c'est vraiment déployé à l'heure actuelle et dans quel contexte (plutôt sur des AS, chez un FAI, dans la PME de toto ?) ou est-ce que c'est encore qu'au stade de la recherche expérimentale ?

[otherflow]

Je suis curieux de savoir en effet s'il est possible de modifier les propriétés statistiques dans le temps, des paquets générés lors d'une attaque DDoS. Du moins pour commencer, les propriétés les plus simples de la distribution des données qui sont analysées pour la detection d'anomalie du trafic et en particulier DDoS.

Par "possible", on peut répondre à plusieurs niveaux: hardware, on peut penser par exemple que la topologie du réseau (délais, erreurs, routage des paquets) affectera toujours une distribution générée en entrée, dans le scenario où on réalise en effet une technique mathématique bien synchronisées. Si on a une pré-mesure de la structure du trafic normal, peut-être est-il aussi possible de contourner cette première limitation etc etc.

Bien sur une réponse développée nécessiterait une études plus approfondie. Mais voici en quelque ligne mon idée sur la question.

Je pense qu'il est tout à fait possible de fausser les données issue de l'analyse de données utilisées pour définir les critères d'une stratégie de sécurité autonome. Les données étant issue d'éléments matériels eux aussi autonomes mais influençable par divers éléments. Si par exemple la ganularités des données utiles à l'étude statistique se base sur les tables de routage d'un ou plusieurs réseaux, la perte (panne matériel, erreur humaine) d'un ou plusieurs matériels réseaux audit par une sonde permettant le relevé de données peut influencer la corrélation des relevés par nouvelles diffusions des routes réseaux.

Cette corrélation corrompu, la décision issue de l'analyse mathématique des informations à des chances de devenir erronée. Dans ce cas l'hypothèse d'un DDOS peut échapper à la surveillance est plausible.

otherflow

[MaxBorn]

tout le monde n'a pas de doctorat en mathématiques fondamentales

bien entendu c'est l'évidence même *peuf* *peuf*

Bon.. Haaa.
Merci otherflow pour ta réponse.

Je vais essayer de recommencer plus simplement.

Partons d'une question a priori simple. Comment détecter une attaque DDoS ?

Comment feriez-vous ? Par quelle approche ? Quelle est la/les stratégie que les IDS (intrusion detection system) mettent en place pour cela ? Est-il possible d'outre-passer ces mécanismes dans certains cas ?

Ce sont des questions intéressantes je trouve mais aussi d'actualités pour la sécurité informatique, comme le montre la création du projet XD3 de la DARPA qui vient de paraître et qui traduit bien la menace réelle que représentent les attaques DDoS.

Pour démarrer, dans ce document de référence (lien), vous aurez accès à une classification bien détaillée des différents types d'attaques DDoS mais également des différents mécanismes de défense.

Dans la pratique et à un niveau accessible à tout le monde je pense, prenons deux exemples, comment deux leaders, Cisco (lien) et Kaspersky (lien) vous propose de vous défendre contre DDoS ?

La réponse est simple. Ils vous propose des solutions qui analyse le trafic des données qui circulent sur "votre" réseau. L'analyse extrait des propriétés statistiques du trafic réseau et les compare aux propriétés statistiques d'un profile normale du trafic en absence d'attaques.

Maintenant, on peut se demander, quelles sont les propriétés statistiques enregistrées/étudiées ? Comment sont-elles modifier lorsqu'il y a une attaque DDoS sur le réseau ?

Vous trouverez à ce lien récent un grand nombre de détails intéressants à ce sujet.

Une des idées les plus courantes, qui se trouvent notamment dans les travaux français du projet de métrologie METROPOLIS et dont supersnail nous a fourni le lien, est d'étudier comment le flux des données généré par une attaque DDoS affecte certaines propriétés générales et invariantes du trafic réseau normal sur Internet.

De nombreuses études réalisées il y a plus de 20 ans déjà (bien connues donc, peace and love gruik), ont montré en effet que le trafic des données échangées sur Ethernet, LAN, WAN, HTTP, TCP, FTP et j'en passe, a des propriétés fractales.
---------------------------------
Internet est auto-similaire: http://allendowney.com/research/filesize/slides.pdf

LAN à une structure fractale auto-similaire: http://citeseerx.ist.psu.edu/viewdoc/dow...1&type=pdf

http://ccr.sigcomm.org/archive/1995/jan9...leland.pdf

Le trafic TCP a une structure multifractale: http://www.stat.rice.edu/~riedi/Publ/PDF/t.pdf

HTTP est auto-similaire: http://www.cs.bu.edu/fac/crovella/paper-...paper.html
-------------------------------------

Il a été observé que les attaques DDoS perturbent les paramètres associés à cette nature fractale auto-similaire du trafic et cela a donc permis de développer des indicateur d'anomalie du trafic et donc des mécanismes de détection des attaques implémenter dans les IDSs, par exemple: la valeur du facteur de Hurst.

Liens pris au hasard: (lien 1) (lien 2, à l'air excellent)

Je ne rentrerais donc pas dans les détails et pour répondre à otherflow, l'idée qui m'intéresse, et pas besoin d'avoir un doctorat en mathématiques fondamentales, est d'imaginer la possibilité d'attaques "intelligentes" où la nature statistique du flux de données envoyés est contrôlée pour être similaire à celle du trafic normal.

A partir de là on peut commencer à réfléchir à comment faire et aussi à trouver des solutions contre.

[Commodor]

Sans répondre directement à la question, bien que l'étude semble être techniquement intéressante, il est théoriquement (jamais mis en oeuvre à ce jour) possible de bloquer la majorité des attaques DDOS.

En effet la plupart de ces attaques se basent sur des serveurs DNS mal configurés pour amplifier l'impact de l'attaque sur le réseau. L'idée déjà évoqué par certains ingénieurs consiste donc à allouer un grand nombre de plages d'adresses ipv6 pointant vers de "vrais faux" serveurs DNS configurés de manière défaillantes pour servir "d'appât". Tout le flux étant ensuite redirigé dans le néant. Ainsi, le nombre de ces 'DNS' serait tellement important que les vrais serveurs seraient noyés dans la masse et rendrai donc toute attaque d'ampleur inopérante (ou dans le pire des cas, extrêmement diminuée).

[MaxBorn]

Intéressant Commodor ! Aurais-tu un lien sur le sujet ?

Pour ceux qui sont intéressés, et pour en revenir à la partie détection, je viens de trouver une réponse à ma question.

Pour rendre "auto-similaire" le trafic des données généré par une attaque DDoS et outre-passer ainsi les détections d'analyses statistiques qui supposent que le trafic engendré par une attaque DDoS n'est pas auto-similaire comme le trafic normal, il suffit d'ajuster la durée d'émission des paquets envoyés par chacun des agents du botnet. Pour chaque agent, en choisissant cette durée au hasard parmi la distribution de Pareto (lien), quelqu'un peut rendre son flux de données auto-similaire et ainsi s'affranchir des techniques de détection se basant sur la perte d'auto-similarité du trafic en présence d'une attaque.

Ca prend une ligne en Python (dur = np.random.pareto(shape, size)).

[Commodor]

Intéressant Commodor ! Aurais-tu un lien sur le sujet ?

Malheureusement, ce type d'information m'est parvenue plus par le "bouche à oreille" et par divers échanges avec des personnes travaillant dans ce milieu. Mais l'idée de base doit bien émerger de quelque part et je vais essayer d'apporter plus de précisions

Pour ceux qui sont intéressés, et pour en revenir à la partie détection, je viens de trouver une réponse à ma question.

Pour rendre "auto-similaire" le trafic des données généré par une attaque DDoS et outre-passer ainsi les détections d'analyses statistiques qui supposent que le trafic engendré par une attaque DDoS n'est pas auto-similaire comme le trafic normal, il suffit d'ajuster la durée d'émission des paquets envoyés par chacun des agents du botnet. Pour chaque agent, en choisissant cette durée au hasard parmi la distribution de Pareto (lien), quelqu'un peut rendre son flux de données auto-similaire et ainsi s'affranchir des techniques de détection se basant sur la perte d'auto-similarité du trafic en présence d'une attaque.

Ca prend une ligne en Python (dur = np.random.pareto(shape, size)).

Oui mais il faut prendre en compte les opérandes d'analyses. Il est moins évidant d'obtenir des statistiques concrètes selon un environnement et une situation type. Et c'est justement le "type" qui peut prêter à de mauvaises interprétation.

Généralement, il est préférable d'éviter d'analyser un modèle d'attaque particulier, et qui plus est, dans un contexte donné. Le plus fiable (mais le plus contraignant pour en sortir des statistiques) est d'écouter le "bruit", au sens propre.
Par bruit, j’entends le trafic non sollicité (ce qui laisse alors une marge d'erreur beaucoup plus faible qu'une analyse global en situation réel) .
Pour se faire, on utilise la technique du Black hole. De la même manière que les honeypot récupèrent les malwares, un black hole peut récupèrer les attaques sur le réseau (donc pas que DDOS, mais tous les types, passant par les scans et autres joyeusetés).

Dans ce que tu cherche à analyser, le black hole ne pourra peut être pas t'aider à analyser une attaque DDOS, mais en revanche, il dévoilera tout le processus en amont. (On pourrait donc imaginer que via ce système, et des analyses poussées, prévoir un type d'attaque donné (DDos par exemple)).
L'erreur à ne pas commettre serait de se baser uniquement sur l'analyse via un black hole, ou à l'inverse, une analyse purement global... Il faut un peu des deux je dirais