Protection DDoS renforcée pour les environnements Cloud/NFV avec BIG-IP VE pour SmartNIC

Les attaques par déni de service distribué (DDoS) sont de plus en plus courantes en tant que forme de sabotage par des activistes, des criminels, des joueurs et même des gouvernements. À mesure que les fournisseurs de services mettent en œuvre l’infrastructure 5G et que les entreprises subissent une transformation numérique, la taille et la surface cible des attaques potentielles devraient augmenter. Ce risque accru, combiné à la tendance à l’évolution organisationnelle vers des architectures définies par logiciel efficaces et rentables, rend l’atténuation des attaques DDoS pour les environnements cloud/NFV plus importante que jamais.

Cet article présente des informations sur les mécanismes d’attaque DDoS et décrit comment la solution logicielle d’atténuation DDoS de F5 peut être augmentée avec la carte réseau FPGA PAC N3000 SmartNIC d’Intel, permettant d’atténuer les attaques DDoS jusqu’à 300 fois plus importantes en les déchargeant sur la carte réseau FPGA intégrée SmartNIC.

Dans ce monde interconnecté et dépendant du numérique, les cyberattaques peuvent avoir des conséquences négatives importantes sur les entreprises, les fournisseurs de services et les entités gouvernementales. Alors que les organes de presse se concentrent sur les pirates informatiques qui volent des informations confidentielles pour les utiliser à des fins de chantage et d’extorsion, de nombreux acteurs malveillants ont simplement pour objectif de causer un préjudice financier.^[1] Lors d'une attaque par déni de service (DoS), les attaquants ciblent un service connecté à Internet (par exemple, un site Web ou un serveur de messagerie) et provoquent son blocage ou son absence de réponse. Une attaque DoS peut être le résultat d’une requête spécialement conçue qui provoque un dysfonctionnement du logiciel serveur.

Ces dernières années, de meilleures pratiques de codage et des techniques de régression ont rendu les attaques DoS simples moins efficaces. En conséquence, les attaques par déni de service distribué (DDoS) sont devenues plus courantes ; cette tendance devrait se poursuivre à mesure que les fournisseurs de services mettent en œuvre l’infrastructure 5G et l’informatique de pointe. Les attaques DDoS sont souvent orchestrées par des individus malveillants et distribuées sur un botnet coordonné d'appareils informatiques compromis en réseau. Ces appareils peuvent être commandés pour envoyer du trafic d’attaque vers un appareil ou un service victime.^[1] Bien que l’impact d’un seul appareil compromis soit minime par rapport à la plupart des normes de débit de traitement, une attaque coordonnée par des milliers, voire des dizaines de milliers d’appareils provenant d’un grand botnet, peut atteindre des niveaux de débit que de nombreux fournisseurs de services sont incapables d’absorber.

Pour les entreprises qui dépendent de leur présence en ligne, la dégradation de la qualité du service et les temps d’arrêt sont néfastes pour les résultats financiers. Le commerce électronique est particulièrement vulnérable aux perturbations ; les pannes de service peuvent coûter des milliers, voire des millions de dollars par minute. Les attaques qui ne provoquent pas de panne peuvent néanmoins dégrader les performances, entraînant une réelle perte de revenus si les clients frustrés se tournent vers un autre fournisseur de commerce électronique.^[2]

L’augmentation des vitesses de connexion Internet des consommateurs et l’omniprésence croissante des appareils sur le cloud augmentent le potentiel d’attaques DDoS. Les appareils connectés présentent une préoccupation particulière, et le maintien de leur sécurité est impératif pour maintenir la sécurité et la fiabilité des services en ligne. Outre le potentiel accru de ces attaques, de nombreuses organisations sont davantage exposées aux attaques DDoS car elles utilisent des architectures centrées sur les logiciels. La plupart des protections logicielles contre les attaques DDoS ne disposent pas de la capacité et des performances nécessaires pour se défendre contre les attaques à grande échelle. Heureusement, les SmartNIC, la dernière génération de cartes d’interface réseau, pourraient changer cela en déchargeant les fonctions réseau et de sécurité des solutions logicielles et en allégeant la pression sur les processeurs disponibles.

Ce rapport définit un certain nombre de mécanismes d’attaque, en s’appuyant sur des données issues de scénarios d’attaque réels, avant de montrer comment la solution logicielle d’atténuation des attaques DDoS de F5, F5® BIG IP® Advanced Firewall Manager™, Virtual Edition (BIG-IP AFM VE), peut être complétée par la carte réseau PAC 3000 SmartNIC d’Intel. Nous montrerons comment cette solution combinée (solution BIG-IP Virtual Edition pour SmartNIC) est capable d’atténuer les attaques DDoS jusqu’à 300 fois plus importantes qu’une solution logicielle équivalente.

Les attaques sans état peuvent être utilisées contre les protocoles avec état, mais ne nécessitent pas que l'attaquant suive l'état des connexions malveillantes. Ils sont populaires car ils nécessitent un minimum de ressources et fonctionnent avec l’usurpation d’adresse IP source. La forme d’attaque classique et la plus utilisée commence par une fausse demande adressée à un serveur pour ouvrir une connexion avec état, que le client fautif (souvent un nœud de botnet) ne reconnaîtra jamais.^[1] L’attaque par inondation TCP SYN en est un exemple spécifique. Lors de la configuration d'une connexion TCP, la négociation à trois commence lorsque le client transmet un paquet SYN. Lorsque le serveur reçoit un paquet SYN du client, il alloue immédiatement de la mémoire à une structure de données de socket TCP contenant le tuple, le numéro de séquence et l'état de la session. Le serveur répond ensuite au client avec un paquet SYN-ACK.

Dans des circonstances normales, une perte de paquets ou une communication lente peut entraîner un retard ou une perte totale du paquet SYN-ACK. Le serveur doit décider combien de temps maintenir le socket dans un état semi-ouvert avant de transmettre une réinitialisation et de libérer la mémoire pour d'autres tâches.^[3] Une technique DDoS populaire consiste à générer un flot de paquets SYN pour inciter le serveur victime à allouer des sockets TCP et de la mémoire à des milliers de sessions fictives. Un taux d’attaque de milliers de paquets SYN par seconde amène rapidement un serveur Web à consommer toute sa mémoire. Dans cet exemple, l'attaquant malveillant a l'avantage ; il sait qu'aucune des sessions ne sera utilisée, il n'est donc pas nécessaire de réserver de la mémoire pour suivre les sessions. Cela permet à l’attaquant de consacrer toutes les ressources du système à la transmission de faux paquets SYN supplémentaires.

Les protocoles sans état sont faciles à exploiter car ils fonctionnent bien avec des adresses sources falsifiées.^[4] Étant donné que les protocoles sans état ne nécessitent pas de poignée de main, la transmission d’un seul paquet conçu à un serveur déclenche une réponse immédiate, en utilisant un minimum de ressources sur l’appareil de l’adversaire et en masquant l’identité de l’adversaire.^[5] Les paquets de réponse de données de la victime sont transmis à l'adresse IP usurpée, qui peut être l'adresse d'une victime distincte. En volume, ils peuvent ralentir ou désactiver une connexion Internet ou un serveur, augmentant ainsi l'efficacité de l'attaque.

Une catégorie distincte d’attaques sans état, appelées attaques par amplification, comprend les attaques DNS flood et NTP flood. Les deux utilisent l’usurpation d’adresse comme vecteur d’attaque. Les attaques par amplification sont particulièrement dommageables car la réponse du serveur peut être d’un ordre de grandeur supérieur à la demande initiale.

En 2018, GitHub, un service de gestion de code populaire apprécié des développeurs, a été confronté à la plus grande attaque DDoS jamais enregistrée. Au plus fort de l’attaque, le service a enregistré un trafic entrant à un débit de 1,3 téraoctet par seconde (Tbps). Il s'agissait d'une attaque DDoS memcached qui exploitait l'effet d'amplification en utilisant le système de mise en cache de base de données populaire, Memcached. Lors de l'attaque, l'attaquant a inondé les serveurs Memcached de requêtes falsifiées et a pu amplifier l'attaque d'un facteur 50 000.^[6]

Bien que les attaques sans état représentent un type courant de menace DDoS, leur simplicité les rend faciles à repérer et à prévenir ou à atténuer.

Les attaques DDoS avec état sont plus efficaces et difficiles à prévenir. Les attaques avec état établissent une liaison avec la victime et se comportent par ailleurs comme un utilisateur légitime. Cette catégorie de vecteur d’attaque peut tromper les anciens mécanismes de prévention DDoS et nécessite plus de puissance de calcul et de mémoire sur la machine attaquante. La clé pour lancer une attaque réussie réside dans le fait de se comporter comme une demande légitime. Le défi pour atténuer ces attaques réside dans une classification appropriée pour séparer les demandes réelles des demandes malveillantes des utilisateurs.

Un exemple simple d’attaque avec état consiste à émuler le comportement d’utilisateurs légitimes pour créer un volume de trafic suffisamment important à l’aide d’un grand nombre d’attaquants (par exemple, un botnet). Ces attaques volumétriques réussissent lorsque la victime ne peut pas consommer ou traiter toutes les requêtes, ou lorsque la connexion Internet du service est saturée. Étant donné que le trafic est conçu pour imiter le comportement des utilisateurs légitimes, il est beaucoup plus difficile de détecter et de différencier le trafic malveillant du trafic légitime. Pour les services impliquant un certain type de mécanisme de poignée de main (par exemple, un défi-réponse, un codage secret ou un échange de cookies), une attaque volumétrique peut être le seul moyen d'exploiter la victime, à moins qu'une faiblesse ne soit trouvée dans le schéma de réponse qui permettrait une génération triviale de réponse valide.^[7]

Une catégorie d’attaques avancées avec état cible des services spécifiques au niveau de l’application. Un exemple, qui attaque le protocole HTTP, est connu sous le nom de « Slowloris ». Cette attaque commence par un attaquant malveillant qui envoie plusieurs requêtes HTTP partielles « GET » au serveur Web pour saturer son nombre maximal de connexions simultanées disponibles. L'attaque fonctionne parce que le protocole HTTP maintient une connexion ouverte pendant qu'un client envoie une commande de requête, qui peut elle-même être divisée en plusieurs paquets. Le client malveillant enverra périodiquement des requêtes HTTP partielles au serveur, avec jusqu'à plusieurs minutes d'inactivité entre les deux, sans jamais mettre fin à la requête.

Une méthode similaire à Slowloris est l’attaque « Are You Dead Yet » ou « RUDY », qui utilise les commandes HTTP « POST » pour envoyer lentement des réponses de données à un serveur Web sans méfiance.^[8] Les deux méthodes nécessitent un minimum de ressources pour s'exécuter et, comme le délai d'expiration par défaut pour maintenir une connexion HTTP ouverte est de 5 minutes sur de nombreux serveurs Web, elles nécessitent également une bande passante minimale.^[1]

Une attaque par inondation de fragments peut également être une attaque avec état efficace. Cette technique peut être coordonnée avec de nombreux ports et adresses sources ciblant une seule destination. Le point de terminaison attaqué enregistrera l’état de chaque paquet de fragments lorsqu’il tentera de réassembler chacun d’eux. Chaque combinaison unique de port source et d'adresse nécessitera l'allocation d'un autre tampon de fragmentation par le système attaqué. La capacité des différents systèmes malveillants à générer des paquets fragmentés peut dépasser les ressources du système attaqué lorsqu'il tente de maintenir l'état de toutes les transactions fragmentées.

Étant donné que les attaques avec état reposent sur la génération de réponses valides à la victime, il n’est généralement pas possible d’usurper l’adresse source de l’attaquant. Une exception à cette règle est lorsque l’attaquant peut compromettre un routeur ou un support réseau par lequel transite du trafic légitime. Dans ce cas, l'attaquant peut usurper l'adresse source et générer des réponses valides avec état lorsqu'il détecte la réponse de la victime, en suivant essentiellement l'état de la connexion.^[7]

Pour caractériser l’efficacité des solutions F5 pour atténuer différents types d’attaques DDoS, un environnement de test a été configuré à l’aide des systèmes de test IXIA. Un IXIA XT80 a généré un trafic client « légitime » et des réponses serveur de bonne qualité, tandis qu'un IXIA XGS12 a généré un trafic d'attaque client de mauvaise qualité. Le test a été configuré pour établir une base de référence stable du trafic client-serveur légitime tout en augmentant le trafic d'attaque pour identifier le niveau auquel le trafic d'attaque commence à interférer avec la livraison réussie du trafic légitime. Cela a permis une caractérisation et une comparaison reproductibles de l’efficacité des mesures d’atténuation.  Pour chaque test, les attaques DDoS ont été jugées comme ayant réussi à affecter le système après observation d'une baisse de 10 % du trafic légitime par rapport à la ligne de base établie.

La ligne de base du trafic légitime est configurée à 20 % de la capacité du système BIG-IP VE, qui était un VE hautes performances à 8 vCPU avec le module BIG-IP AFM provisionné. Étant donné que ce système est capable de traiter 40 Gbit/s, le trafic légitime de base a été maintenu à 8 Gbit/s.

BIG-IP AFM VE atténue les attaques DDoS en établissant des seuils autorisés pour différentes classifications de trafic (par exemple, UDP, fragments, TCP SYN, etc.). Une fois le seuil d'un type de trafic particulier dépassé, le système peut être configuré pour supprimer tout le trafic correspondant à cette classification. Cela soulage le système des coûts supplémentaires associés au traitement de ce type de trafic. Bien que les solutions DDoS basées sur des logiciels puissent offrir certains avantages par rapport à un système non protégé, les limitations de la capacité du logiciel à traiter les paquets à la vitesse de la ligne signifient que l'atténuation logicielle ne peut pas empêcher complètement les effets d'une attaque DDoS.

L’étape suivante du test consistait à établir le débit de trafic DDoS requis pour commencer à interrompre le trafic légitime avec uniquement la solution logicielle en place. Cela a été fait pour permettre une comparaison des performances entre une solution logicielle uniquement et la solution BIG-IP VE pour SmartNIC. La configuration architecturale du système pour le test AFM BIG-IP peut être vue dans la Figure 6.

Les données de performance d'atténuation DDoS pour BIG-IP AFM VE ont été capturées pour trois types d'attaques DDoS différents afin de permettre une analyse plus complète. Les types d’attaques pour cette simulation comprenaient :

• Type d'attaque 1 – Attaque par inondation UDP : Cette attaque volumétrique sans état est réalisée en envoyant un grand nombre de paquets User Datagram Protocol à un serveur cible dans le but d’impacter la capacité de ce serveur à traiter et à répondre.
• Type d’attaque 2 – Attaque de l’arbre de Noël : Cette attaque utilise des paquets d'arbre de Noël, ainsi appelés parce que toutes leurs options sont réglées sur « on » afin que n'importe quel protocole puisse être utilisé, ce qui les fait apparaître « illuminés comme un arbre de Noël ». Ces paquets nécessitent beaucoup plus de puissance de traitement que les autres paquets et peuvent rapidement consommer la capacité de calcul d’un périphérique final lorsqu’ils sont envoyés en grande quantité.
• Type d'attaque 3 – Attaque par fragment IP court : Cette attaque DDoS volumétrique courante submerge un réseau en exploitant le processus de fragmentation des datagrammes. Généralement réalisées en envoyant de faux paquets qui ne peuvent pas être réassemblés et qui sont plus volumineux que l'unité de transmission maximale (MTU) du réseau, ces attaques submergent rapidement les serveurs en épuisant les ressources du processeur.

La figure 7 montre le volume de trafic, en Gbps, requis pour chacun de ces types d'attaques pour avoir un impact sur le bon trafic lors de l'utilisation de BIG-IP AFM VE (logiciel uniquement).

Toutes les attaques DDoS ne sont pas égales. Certaines sont plus largement distribuées sur le système que d’autres, et certaines attaques nécessitent une inspection et une analyse plus poussées des paquets avant de pouvoir être identifiées. Cela entraîne une variation de l’efficacité des attaques DDoS, comme le montre le graphique ci-dessus. Ces trois méthodes d’attaque simulées démontrent que le trafic légitime peut être impacté par des attaques DDoS à des débits relativement faibles lors de l’utilisation de solutions uniquement logicielles.

La solution BIG-IP VE for SmartNICs est composée d'un AFM VE hautes performances 8vCPU (le même que celui utilisé dans le test logiciel uniquement) intégré à un Intel FPGA PAC N3000 SmartNIC. Cela permet de décharger la protection DDoS sur le SmartNIC. Le FPGA intégré dans ce SmartNIC a été programmé pour détecter et bloquer automatiquement plus de 100 types différents d'attaques DDoS connues tout en utilisant des analyses comportementales pour atténuer les menaces inconnues et évolutives.

En surveillant les taux de réception des paquets pour tous les profils de trafic programmés dans le trafic entrant et en les comparant aux seuils acceptables et configurés, le FPGA peut déterminer quand un seuil a été dépassé. Lorsque cela se produit, le FPGA applique les politiques appropriées pour supprimer le trafic qui dépasse les maximums configurés. Cela protège le sous-système CPU du traitement du trafic de paquets qui sera finalement abandonné en raison de la politique d'atténuation des attaques DDoS. Étant donné que le FPGA est capable de classer le trafic de paquets à la vitesse de la ligne (contrairement au sous-système CPU), la solution compatible SmartNIC offre des avantages marqués par rapport à la solution logicielle uniquement.

Pour l’étape suivante de cette démonstration, la solution compatible SmartNIC a été soumise aux trois mêmes attaques DDoS dans l’environnement de test. Comme précédemment, l’objectif était d’identifier le taux de trafic DDoS nécessaire pour impacter le flux de trafic légitime. La figure 8 montre la configuration architecturale du système pour le test BIG-IP VE pour SmartNIC.

Les résultats de ce test sont présentés dans la figure 9.

Il a été observé que la solution DDoS logicielle de F5 (BIG-IP AFM VE) peut fournir un certain niveau de protection contre les attaques à petite échelle avant que le trafic légitime ne soit affecté, mais cette solution ne peut pas empêcher les impacts négatifs d'attaques plus importantes. L’intégration du BIG-IP AFM VE avec le FPGA PAC N3000 SmartNIC d’Intel pour former la solution BIG-IP VE pour SmartNIC a permis d’améliorer considérablement les performances. En déchargeant la responsabilité de l'atténuation des menaces DDoS du BIG-IP AFM VE vers un FPGA au sein du SmartNIC, la solution combinée a pu résister à des attaques d'une ampleur 41 à 381 fois supérieure, y compris des attaques avec un débit de 30 Gbit/s et plus. Pour les organisations et les fournisseurs de services ayant des impératifs de cloud, cette solution offre la protection haute performance d'un matériel spécialement conçu, tout en offrant la flexibilité et l'agilité des environnements cloud. De plus, comme les FPGA peuvent être reprogrammés, il leur est possible d’augmenter d’autres fonctions de réseau et de sécurité à mesure que les menaces évoluent.

¹ G. D. Hakem Beitollahi, Analyse des contre-mesures bien connues contre les attaques par déni de service distribué, Computer Communications, 2012.
² HW Chuan Yue, « Protection contre les surcharges en fonction des bénéfices sur les sites Web de commerce électronique », Journal of Network and Computer Applications, vol. 32, p. 347–356, 2009.
³ AM Christos Douligeris, « Attaques DDoS et mécanismes de défense : classification et état de l'art », Computer Networks, vol. 44, no. 5, pp. 643-666, 2004.
⁴ GD Hakem Beitollahi, « Analyse des contre-mesures bien connues contre les attaques par déni de service distribué », Computer Communications, vol. 35, no. 11, pp. 1312-1332, 2012.
⁵ M. Prince, « Au cœur d'une attaque DDoS par amplification DNS », CloudFlare, 30 octobre 2012. [En ligne]. Disponible : https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/ . [Consulté le 11 janvier 2015].
⁶ US-CERT, « Attaques d'amplification basées sur UDP », 19 août 2015. [En ligne]. Disponible : https://www.us-cert.gov/ncas/alerts/TA14-017A .
⁷ YTWD Shigang Chen, « Attaques DDoS avec état et filtrage ciblé », Journal of Network and Computer Applications, vol. 30, n° 3, pp. 823-840, 2007.
⁸ https://www.incapsula.com/ddos/attack-glossary/rudy-ru-est-mort-encore.html, "RUDY (RU-Dead-Yet ?)," [En ligne]. Disponible : https://www.incapsula.com/ddos/attack-glossary/rudy-ru-dead-yet.html . [Consulté le 9 décembre 2015].