WHITE PAPER

Protection DDoS renforcée pour les environnements cloud/NFV avec BIG-IP VE pour SmartNIC


Résumé :

Les attaques par déni de service distribué (DDoS) sont devenues une forme de sabotage de plus en plus courante de la part d’activistes, de criminels, de joueurs et même de gouvernements. À mesure que les fournisseurs de services mettent en place l’infrastructure 5G et que les entreprises se transforment numériquement, la taille et la surface cible des attaques potentielles vont augmenter. Ce risque accru, combiné à la tendance à l’évolution organisationnelle vers des architectures logicielles efficaces et rentables, rend plus importante que jamais l’atténuation des DDoS pour les environnements cloud/NFV.

Cet article présente des informations sur les mécanismes d’attaque DDoS et montre comment la solution logicielle de F5 pour atténuer les attaques DDoS peut être complétée par le FPGA PAC N3000 SmartNIC d’Intel, permettant d’atténuer les attaques DDoS jusqu’à 300 fois plus importantes en les déchargeant sur le FPGA intégré aux SmartNIC.

Contexte :

Dans notre monde numérique et interconnecté, les cyberattaques peuvent avoir des impacts négatifs importants sur les entreprises, les fournisseurs de services et les entités gouvernementales. Tandis que la presse se concentre sur les pirates informatiques qui volent des informations confidentielles pour les utiliser à des fins de chantage et d’extorsion, de nombreux acteurs malveillants ont simplement l’intention de causer un préjudice financier. [1] Dans une attaque par déni de service, les attaquants ciblent un service connecté à Internet (par exemple, un site web ou un serveur de messagerie) et le font planter ou le rendent inaccessible. Une attaque par déni de service peut être le résultat d’une requête spécialement conçue qui provoque un dysfonctionnement du logiciel du serveur.

Ces dernières années, de meilleures pratiques de code et des techniques de régression ont rendu moins efficaces les attaques par déni de service simples. En conséquence, les attaques par déni de service distribué (DDoS) sont devenues plus courantes ; cette tendance devrait se confirmer à mesure que les fournisseurs de services mettent en place une infrastructure 5G et une informatique de pointe. Les attaques DDoS sont souvent orchestrées par des individus malveillants et distribuées par un réseau coordonné de dispositifs informatiques compromis et en réseau. Ces dispositifs peuvent être commandés pour envoyer le trafic d’attaque vers un dispositif ou un service victime. [1] Si l’impact d’un seul appareil compromis est minime au regard de la plupart des normes de débit de traitement, une attaque coordonnée par des milliers, voire des dizaines de milliers d’appareils provenant d’un grand réseau de zombies peut atteindre des niveaux de débit que de nombreux fournisseurs de services sont incapables d’absorber.

Pour les entreprises dépendantes de leur présence en ligne, les dégradations de la qualité du service et les temps d’arrêt sont mauvais pour les résultats. Le commerce électronique est particulièrement vulnérable aux perturbations ; les interruptions de service peuvent coûter des milliers, voire des millions de dollars par minute. Les attaques qui ne provoquent pas de panne peuvent néanmoins dégrader les performances, entraînant une perte réelle de revenus si les clients frustrés passent à un autre fournisseur de commerce électronique. [2]

L’augmentation de la vitesse des connexions à internet des consommateurs et l’omniprésence croissante des appareils dans le cloud augmentent le risque d’attaques DDoS. Les appareils connectés constituent une inquiétude particulière, et il est impératif de maintenir leur sécurité pour préserver la sûreté et la fiabilité des services en ligne. Parallèlement à l’augmentation du potentiel de ces attaques, de nombreuses organisations sont exposées à un risque accru d’attaques par déni de service (DDoS), car elles se tournent vers des architectures centrées sur les logiciels. La plupart des protections logicielles contre les DDoS n’ont pas la capacité et les performances requises pour se défendre contre des attaques à grande échelle. Heureusement, les SmartNIC — la dernière génération de cartes d’interface réseau — peuvent changer cette situation en déchargeant les fonctions de réseau et de sécurité des solutions logicielles et en allégeant la pression sur les unités centrales disponibles.

Ce rapport définira un certain nombre de mécanismes d’attaque, en utilisant des preuves issues de scénarios d’attaque réels, avant de montrer comment la solution logicielle d’atténuation des DDoS de F5, F5® BIG IP® Advanced Firewall Manager™, Virtual Edition (BIG-IP AFM VE) peut être complétée par le PAC 3000 SmartNIC d’Intel. Nous montrerons comment cette solution combinée (solution BIG-IP Virtual Edition pour SmartNIC) est capable d’atténuer les attaques DDoS jusqu’à 300 fois plus importantes qu’une solution équivalente uniquement logicielle.

Méthodes d’attaque 

Attaques sans état 

Les attaques sans état peuvent être utilisées contre les protocoles à état, mais n’obligent pas l’attaquant à suivre l’état des connexions malveillantes. Elles sont populaires parce qu’elles nécessitent un minimum de ressources et fonctionnent avec l’usurpation de l’adresse IP source. La forme d’attaque classique et la plus répandue commence par une fausse requête à un serveur d’ouvrir une connexion avec état, que le client attaquant (souvent un nœud d’un botnet) ne reconnaîtra jamais. [1] L’attaque par flood TCP SYN en est un exemple spécifique. Lors de l’établissement d’une connexion TCP, la poignée de main à trois commence par la transmission d’un paquet SYN par le client. Lorsque le serveur reçoit un paquet SYN du client, il alloue immédiatement de la mémoire pour une structure de données de socket TCP contenant le tuple, le numéro de séquence et l’état de la session. Le serveur répond ensuite au client avec un paquet SYN-ACK.


Figure 1 — Poignée de main à trois complète TCP

Dans des circonstances normales, la perte d’un paquet ou la lenteur de la communication peut entraîner le retard ou la perte totale du paquet SYN-ACK. Le serveur doit décider combien de temps il faut maintenir le socket dans un état semi-ouvert avant de transmettre une réinitialisation et de libérer la mémoire pour d’autres tâches. [3] Une technique DDoS populaire consiste à générer un flot de paquets SYN pour tromper le serveur victime et l’amener à allouer des sockets TCP et de la mémoire à des milliers de fausses sessions. Un taux d’attaque de milliers de paquets SYN par seconde fait qu’un serveur web consomme rapidement toute sa mémoire. Dans cet exemple, l’attaquant malveillant a l’avantage : il sait qu’aucune des sessions ne sera utilisée, il n’a donc pas besoin de réserver de la mémoire pour suivre ses sessions. Cela permet à l’attaquant de consacrer toutes les ressources du système à la transmission de faux paquets SYN supplémentaires.


Figure 2 — Inondation SYN à l’aide d’une adresse IP source usurpée

Les protocoles sans état sont faciles à exploiter car ils fonctionnent bien en utilisant des adresses sources usurpées. [4] Comme les protocoles sans état ne nécessitent pas de poignée de main, la transmission d’un seul paquet élaboré vers un serveur déclenche une réponse immédiate, en utilisant un minimum de ressources sur le dispositif de l’adversaire et en dissimulant son identité. [5] Les paquets de réponse de la victime sont transmis à l’adresse IP usurpée, qui peut être une adresse distincte de celle de la victime ; en volume, ils peuvent ralentir ou désactiver une connexion Internet ou un serveur, ce qui accroît l’efficacité de l’attaque.

Attaques d’amplification

Une catégorie distincte d’attaques sans état, connues sous le nom d’attaques d’amplification, comprend les inondations DNS et les inondations NTP. Toutes deux utilisent l’usurpation d’adresse comme partie du vecteur d’attaque. Les attaques par amplification sont particulièrement dommageables car la réponse du serveur peut être d’un ordre de grandeur supérieur à la demande initiale.


Figure 3 — Diagramme d’attaque DDoS de réflexion DNS

En 2018, GitHub, un service de gestion de code très populaire auprès des développeurs, a été confronté à la plus grande attaque DDoS jamais enregistrée. Au plus fort de l’attaque, le service a vu un trafic entrant à un débit de 1,3 téraoctet par seconde (Tbps). Il s’agissait d’une attaque DDoS en mémoire cache qui a exploité l’effet d’amplification en utilisant le système populaire de mise en mémoire cache des bases de données, Memcached. Au cours de l’attaque, l’attaquant a inondé les serveurs Memcached de requêtes spoofées et a pu amplifier l’attaque par un facteur de 50 000. [6]


Figure 4 —Une attaque d’amplification du DNS orchestrée par un botnet

Bien que les attaques sans état représentent un type courant de menace DDoS, leur simplicité les rend faciles à repérer et à prévenir ou à atténuer.

Attaques à état

Les attaques DDoS à état sont plus efficaces et plus difficiles à prévenir. Elles complètent une poignée de main avec la victime et se comportent apparemment comme un utilisateur légitime. Cette catégorie de vecteur d’attaque peut tromper les mécanismes de prévention des DDoS plus anciens, et nécessite plus de puissance de calcul et de mémoire sur la machine attaquante. La clé du succès d’une telle attaque réside dans le fait de se comporter comme une requête légitime. La difficulté pour atténuer ces attaques réside dans une classification appropriée permettant de séparer requêtes réelles et malveillantes.

Un exemple simple d’attaque à état consiste à imiter le comportement d’utilisateurs légitimes pour créer un volume de trafic suffisamment important en utilisant un grand nombre d’attaquants (par exemple, un botnet). Ces attaques volumétriques réussissent lorsque la victime ne peut pas consommer ou traiter toutes les demandes, ou lorsque la connexion internet du service est saturée. Comme le trafic est conçu pour imiter le comportement des utilisateurs légitimes, il est beaucoup plus difficile de détecter le trafic malveillant et de le différencier du trafic légitime. Pour les services impliquant un certain type de mécanisme de poignée de main (les exemples pourraient inclure la réponse à un défi, l’encodage d’un secret ou l’échange de cookies), une attaque volumétrique peut être la seule façon d’atteindre la victime, à moins qu’une faiblesse ne soit trouvée dans le schéma de réponse qui permettrait une génération triviale de réponse valide. [7]

Une catégorie d’attaques avancées avec état vise des services spécifiques au niveau des applications. Un exemple, qui attaque le protocole HTTP, est connu sous le nom de « Slowloris » Cette attaque commence par un attaquant malveillant qui envoie plusieurs requêtes HTTP partielles « GET » au serveur web pour saturer le maximum de connexions simultanées disponibles. L’attaque fonctionne parce que le protocole HTTP maintient une connexion ouverte pendant qu’un client envoie une commande de requête, qui peut elle-même être divisée en plusieurs paquets. Le client malveillant enverra périodiquement des requêtes HTTP partielles au serveur — avec jusqu’à plusieurs minutes d’inactivité entre les deux — sans jamais mettre fin à la requête.


Figure 5 — Attaque RUDY utilisant un HTTP POST lent

Une méthode similaire à Slowloris est l’attaque « Are You Dead Yet » ou « RUDY », qui utilise les commandes HTTP « POST » pour envoyer lentement des réponses de données à un serveur web. [8] Les deux méthodes nécessitent un minimum de ressources pour être exécutées, et parce que le délai par défaut pour maintenir une connexion HTTP ouverte est de 5 minutes sur de nombreux serveurs web ; elles nécessitent également une bande passante minimale. [11]

Une attaque fragmentaire par inondation peut également être une attaque à état efficace. Cette technique peut être coordonnée avec de nombreux ports sources et adresses ciblant une seule destination. Le point d’extrémité attaqué enregistrera l’état de chaque paquet de fragments lorsqu’il tentera de les réassembler. Chaque combinaison unique de port source et d’adresse nécessitera l’allocation d’un autre tampon de fragmentation par le système attaqué. La capacité des différents systèmes malveillants à fournir des paquets fragmentés peut dépasser les ressources du système attaqué lorsqu’il tente de maintenir l’état de toutes les transactions fragmentées.

Comme les attaques à état reposent sur la génération de réponses valables pour la victime, il n’est généralement pas possible d’usurper l’adresse source de l’attaquant. Une exception à cette règle est lorsque l’attaquant peut compromettre un routeur ou un support réseau par lequel transite le trafic légitime. Dans ce cas, l’attaquant peut usurper l’adresse source et générer des réponses valables lorsqu’il renifle la réponse de la victime, en suivant en fait l’état de la connexion. [7]

Test d’attaque DDoS

Afin de caractériser l’efficacité des solutions F5 pour atténuer les différents types d’attaques DDoS, un environnement de test a été configuré en utilisant les systèmes de test IXIA. Un IXIA XT80 a généré un bon trafic de clients « légitimes » et des réponses de serveur, et un IXIA XGS12 a généré un trafic d’attaques de clients malveillants. Le test a été configuré pour établir une base stable de trafic client-serveur légitime tout en accélérant le trafic d’attaque afin d’identifier le niveau auquel le trafic d’attaque commence à interférer avec la livraison réussie du trafic légitime. Cela a permis une caractérisation reproductible et une comparaison de l’efficacité de l’atténuation. Pour chaque test, les attaques DDoS ont été jugées comme ayant affecté avec succès le système après observation d’une baisse de 10 % du trafic légitime par rapport à la base de référence établie.

Environnement de test

La base de trafic légitime est configurée à 20 % de la capacité du système BIG-IP VE, qui était un VE haute performance 8vCPU avec le module BIG-IP AFM fourni. Comme ce système est capable de traiter 40 Gbps, la base de trafic légitime a été maintenue à 8 Gbps.

Atténuation logicielle à l’aide de BIG-IP AFM VE

BIG-IP AFM VE atténue les attaques DDoS en établissant des seuils autorisés pour diverses classifications de trafic (par exemple, UDP, fragments, TCP SYN, etc.). Une fois que le seuil d’un type de trafic particulier a été dépassé, le système peut être configuré pour supprimer tout le trafic qui correspond à cette classification. Cela évite au système de devoir supporter les coûts supplémentaires liés au traitement de ce type de trafic. Bien que les solutions DDoS basées sur des logiciels puissent offrir certains avantages par rapport à un système non protégé, les limitations de la capacité du logiciel à traiter les paquets au débit de la ligne signifient que l’atténuation logicielle ne peut pas complètement empêcher les effets d’une attaque DDoS.

L’étape suivante du test a consisté à établir le taux de trafic DDoS nécessaire pour commencer à interrompre le trafic légitime avec seulement la solution logicielle en place. Cela a permis de faire une comparaison des performances entre une solution uniquement logicielle et la solution BIG-IP VE pour SmartNIC. La configuration du système architectural pour le test BIG-IP AFM est présentée à la figure 6.


Figure 6 — Configuration du système architectural pour le test BIG-IP AFM VE (logiciel uniquement)

Les données sur les performances d’atténuation des DDoS pour BIG-IP AFM VE ont été saisies pour trois types d’attaques DDoS différents afin de permettre une analyse plus complète. Les types d’attaques pour cette simulation comprenaient :

  • 1er type d’attaqueAttaque d’inondation UDP : Cette attaque volumétrique sans état est réalisée en envoyant un grand nombre de paquets de protocole de datagrammes utilisateur à un serveur, cible dans le but d’affecter la capacité de ce serveur à traiter et à répondre aux requêtes.
  • 2e type d’attaque — Attaque de l’arbre de Noël Cette attaque utilise des paquets Arbres de Noël, appelés ainsi parce qu’ils ont toutes les options activées, de sorte que n’importe quel protocole peut être utilisé, les faisant apparaître « éclairés comme un arbre de Noël » Ces paquets nécessitent une puissance de traitement beaucoup plus importante que les autres paquets et peuvent rapidement consommer la capacité de calcul d’un appareil final lorsqu’ils sont envoyés en grande quantité.
  • 3e type d’attaque — Attaque à court fragment d’IP Cette attaque DDoS volumétrique courante submerge un réseau en exploitant le processus de fragmentation des datagrammes. Généralement réalisées par l’envoi de faux paquets qui ne peuvent pas être réassemblés et dont la taille dépasse l’unité de transmission maximale (MTU) du réseau, ces attaques submergent rapidement les serveurs en épuisant les ressources de processeur.

La figure 7 montre le volume de trafic, en Gbps, nécessaire pour que chacun de ces types d’attaques ait un impact sur le bon trafic lorsqu’on utilise BIG-IP AFM VE (logiciel uniquement).


Figure 7 — Taux de DDoS requis pour avoir un impact sur le trafic légitime en utilisant BIG-IP AFM VE (logiciel uniquement)

Toutes les attaques DDoS ne se valent pas. Certaines sont plus largement répandues dans le système que d’autres, et certaines attaques nécessitent davantage d’inspection et d’analyse des paquets avant de pouvoir être identifiées. L’efficacité des attaques DDoS varie donc, comme le montre le graphique ci-dessus. Ces trois méthodes d’attaque simulées montrent que le trafic légitime peut être affecté par des attaques DDoS à des débits relativement faibles lorsqu’on utilise des solutions uniquement logicielles.

Atténuation assistée par SmartNIC grâce à BIG-IP VE pour SmartNIC

La solution BIG-IP VE pour SmartNIC est composée d’un AFM VE haute performance à 8vCPU (le même que celui utilisé dans le test logiciel uniquement) intégré à un SmartNIC Intel FPGA PAC N3000. Cela permet de décharger la protection DDoS sur la SmartNIC. Le FPGA intégré dans cette SmartNIC a été programmé pour détecter et bloquer automatiquement plus de 100 types différents d’attaques DDoS connues tout en utilisant l’analyse comportementale pour atténuer les menaces inconnues et en évolution.

En surveillant les taux de réception des paquets pour tous les profils de trafic programmés dans le trafic d’entrée, et en les comparant à des seuils acceptables et configurés, le FPGA peut déterminer quand un seuil a été dépassé. Lorsque cela se produit, le FPGA adopte les politiques appropriées pour supprimer le trafic qui dépasse les maximums configurés. Cela protège le sous-système de l’unité centrale contre le traitement du trafic de paquets qui sera finalement abandonné en raison de la politique d’atténuation des DDoS. Comme le FPGA est capable de classer le trafic de paquets au débit de la ligne (contrairement au sous-système de l’unité centrale), la solution SmartNIC offre des avantages marqués par rapport à la solution uniquement logicielle.

Pour l’étape suivante de cette démonstration, la solution SmartNIC a été soumise aux trois mêmes attaques DDoS dans l’environnement de test. Comme précédemment, l’objectif était d’identifier le taux de trafic DDoS nécessaire pour avoir un impact sur le flux de trafic légitime. La figure 8 montre la configuration du système architectural pour le test BIG-IP VE pour SmartNIC.


Figure 8 — Configuration du système architectural pour le test BIG-IP pour for SmartNIC

Les résultats de ce test sont présentés à la figure 9.


Figure 9 — Taux de DDoS requis pour avoir un impact sur le trafic légitime en utilisant la solution BIG-IP VE pour SmartNIC

Conclusion

Il a été observé que la solution DDoS de F5, uniquement logicielle (BIG-IP AFM VE), peut fournir un certain niveau de protection contre les attaques à petite échelle avant que le trafic légitime ne soit affecté, mais cette solution ne pourrait pas empêcher les impacts négatifs des attaques plus importantes. L’intégration de la solution BIG-IP AFM VE avec le FPGA PAC N3000 SmartNIC d’Intel pour former la solution BIG-IP VE pour SmartNIC a permis d’améliorer considérablement les performances. En transférant la responsabilité de l’atténuation des menaces DDoS de BIG-IP AFM VE à un FPGA au sein du SmartNIC, la solution combinée a pu résister à des attaques d’une ampleur 41 à 381 fois supérieures, y compris des attaques à un débit de 30 Gbps et plus. Pour les organisations et les fournisseurs de services dont les impératifs sont d’abord liés au cloud, cette solution offre la protection haute performance d’un matériel spécialement conçu à cet effet, tout en offrant la flexibilité et l’agilité des environnements cloud. En outre, comme les FPGA peuvent être reprogrammés, il leur est possible d’augmenter d’autres fonctions de réseau et de sécurité à mesure que les menaces évoluent.

1 G. D. Hakem Beitollahi, Analysing well-known countermeasures against distributed denial of service attacks, Computer Communications, 2012.
2 H. W. Chuan Yue, “Profit-aware overload protection in E-commerce Web sites”, Journal of Network and Computer Applications, vol. 32, p. 347–356, 2009.
3 A. M. Christos Douligeris, “DDoS attacks and defense mechanisms: classification and state of the art”, Computer Networks, vol. 44, no. 5, pp. 643–666, 2004.
4 G. D. Hakem Beitollahi, “Analysing well-known countermeasures against distributed denial of service attacks,” Computer Communications, vol. 35, no. 11, pp. 1312–1332, 2012.
5 M. Prince, “Deep Inside a DNS Amplification DDoS Attack,” CloudFlare, 30 10 2012. [En ligne]. Disponible sur : https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/. [Consulté le 1er novembre 2015].
6 US-CERT, « UDP-Based Amplification Attacks », 19 août 2015. [En ligne]. Disponible sur : https://www.us-cert.gov/ncas/alerts/TA14-017A.
 7 Y. T. W. D. Shigang Chen, “Stateful DDoS attacks and targeted filtering,” Journal of Network and Computer Applications, vol. 30, no. 3, pp. 823–840, 2007.
8 https://www.incapsula.com/ddos/attack-glossary/rudy-r-u-dead-yet.html, “R.U.D.Y. (R-U-Dead-Yet ?)”, [en ligne]. Disponible sur : https://www.incapsula.com/ddos/attack-glossary/rudy-r-u-dead-yet.html. [Consulté le 9 12 2015].

Published July 27, 2020
  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share to email
  • Share via AddThis

Connect with F5

F5 Labs

The latest in application threat intelligence.

DevCentral

The F5 community for discussion forums and expert articles.

F5 Newsroom

News, F5 blogs, and more.