Le 7 août 2009 16:15, David Amiel<da...@lesamiel.fr> a écrit : > > > c'est l'objet de ma question :) > on est d'accord qu'une approche classique (ACL, QOS ou autre) est > inopérante pour ce genre de problème. > Pourtant il doit bien y avoir des solutions qui fonctionnent, je n'ose pas > croire que les gros sites tiennent le coup juste en ayant des tuyaux (et > serveurs) suffisamment dimensionnés pour absorber l'onde de choc.
Ca parait évident, mais il semble bon de le rappeler : plus le DDoS est ressemblant avec un trafic "normal", c'est à dire des requêtes et séries de requêtes susceptibles d'être celles d'une utilisation normale du service, moins il est possible de détecter l'anomalie. Donc plus on cherchera à détecter les flots de requêtes anormales, plus celles ci se feront discrètes mais tout aussi efficaces. La course à l'armement peut faire claquer des millions en IPS/IDS, le contournement est toujours trop simple pour que ça tienne bien longtemps face à quelqu'un de résolu. > Il y a 2 ans j'avais eu une présentation de la société Beeware qui avait > greffé un réseau de neurones ( artificiels ;) ) à un pare-feu pour qu'il > puisse détecter de façon autonome les attaques. L'approche me paraissait > intéressante mais je n'avais pas eu le temps d'essayer le produit en > situation réelle. Du coup je me demandais si cette technique avait fait > ses preuves ? FOUTAISES ! Réseaux de neurones, IA, c'est tout juste bon pour le marketing. Reconnaître par quelque astuce algorithmique que ce soit des motifs de requêtes qui se répètent trop pour être légitimes, ça ne marchera de toute façon qu'un temps, et cet équipement en particulier suffira a parer à des attaques simples et aveugles, jamais à de l'artillerie lourde intelligemment conçue. > Ou alors un peu dans le même style l'approche pare-feu + moteur de > corrélation pourrait être une autre approche. > > David Amiel > En fait, intercaler de l'intéligence sur le réseau en amont des serveurs, ça ne sert tout simplement à rien, ça pourra toujours finir par être trompé, et ce serait avantageusement remplacé par une approche pragmatique et intelligente d'optimisation du serveur d'application. Considérer une telle attaque comme un sinistre, et prévoir un PCA qui va augmenter ponctuellement la capacité de la plate-forme, tout en utilisant une architecture logicielle qui permette de suivre la croissance de performances (tpm) proportionnellement à la taille des grappes en service, c'est possible, et finalement pas si complexe quand l'applicatif est bien maîtrisé. Détecter les requêtes anormales, ou les flux de telles requêtes, ça ne se fera jamais aussi bien que par l'application elle même. Un IDS ne connaît pas les spécificité du service, il va travailler en aveugle. Implémenter par contre un mécanisme similaire à la détection de fraude qui repérera et isolera les comportements utilisateurs anormaux (enchaînement de pages trop rapide ou non logique par exemple), c'est une approche suffisante et bien plus pertinente ! Ca demande par contre de se poser et de réfléchir un peu à ce qu'on fait... Payer whatmille USD ne suffira pas à régler le problème. -- Jérôme Nicolle --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/