À 3 heures du matin, mon téléphone portable a soudain vibré comme un fou - le patron du département commercial m'a appelé directement, sa voix a changé : "Le site web officiel et les services de base sont tous bloqués, et les plaintes des utilisateurs ont explosé ! Je me suis instantanément levé du lit, même en pantoufles, pour me précipiter vers l'ordinateur, me connecter en SSH pour voir, bon gars, la carte réseau du serveur est directement pleine, le trafic UDP entrant comme un chien enragé a grimpé jusqu'à 4 Gbps.
Dans la famille des attaques DDoS, l'UDP Flood est sans aucun doute un "sale boulot professionnel". Ce n'est pas comme le SYN Flood, mais c'est aussi un peu de "contenu technique", purement par force brute. L'attaquant utilise la nature sans connexion du protocole UDP pour usurper un grand nombre d'adresses IP sources et envoyer des paquets inutiles au serveur cible. Lorsque le serveur tente de traiter ces demandes non valides, ses ressources sont rapidement épuisées et les demandes normales des utilisateurs ne peuvent plus être traitées. Ce qui est encore plus dégoûtant, c'est que les attaques par amplification de réflexion sont maintenant populaires, comme NTP, DNS, Memcached reflection, l'attaquant peut soutirer des centaines de gigaoctets de trafic avec un petit tuyau d'eau, ce qui est très rentable.
Pourquoi les pare-feux traditionnels se mettent-ils souvent en travers de la gorge face à de telles attaques ? J'ai constaté que les pare-feux matériels sur lesquels s'appuient de nombreuses organisations s'effondrent presque instantanément lorsqu'ils sont confrontés à des flux UDP de plus de 1 Gbit/s. Leur conception est axée sur la détection avec état, mais l'UDP lui-même est sans état. Leur conception est axée sur la détection avec état, mais l'UDP lui-même est sans état, de sorte que le pare-feu doit consommer beaucoup de CPU et de mémoire pour essayer d'établir une "pseudo-session", et finit par être entraîné dans la mort en premier. C'est pourquoi les gens comptent de plus en plus sur les CDN haute définition pour supporter la charge, en dirigeant le trafic vers des centres de nettoyage répartis dans le monde entier, loin de leurs propres sites d'origine.
La prévention de l'inondation UDP par un CDN de haute défense, le cœur des deux coups : le nettoyage du trafic et le filtrage des ports. Ces deux mots semblent simples, mais l'eau qui se cache derrière est très profonde. Le niveau de mise en œuvre des différents fournisseurs est vraiment différent.
Commençons par le nettoyage du trafic. Il ne s'agit pas simplement de "venir autant que possible et de perdre autant que possible". Un centre de nettoyage de qualité dispose d'une énorme capacité d'apprentissage de la ligne de base du trafic juste à l'entrée. Grâce à l'analyse en temps réel, il peut déterminer avec précision, en 3 à 5 secondes, ce qui relève du trafic professionnel normal (comme la voix de jeu, la vidéoconférence) et ce qui relève de l'inondation malveillante. Par exemple, le réseau de nettoyage mondial de CDN5, que j'ai personnellement vu dans une attaque de réflexion NTP de plus de 300 Gbps, peut être achevé en 10 secondes de traction et de nettoyage, et le trafic final vers la station source est presque nul.
Leur stratégie de nettoyage est stratifiée. La première couche est un filtrage grossier : directement basé sur le protocole BGP pour attirer dynamiquement le trafic suspecté d'être une attaque vers le centre de nettoyage distribué. La deuxième couche est l'analyse du protocole : analyse approfondie du contenu des paquets UDP. Par exemple, un paquet de requête DNS, la longueur et le contenu du paquet normal ont un modèle spécifique, alors que le paquet d'attaque est souvent brouillé ou rempli de charges utiles surdimensionnées. La troisième couche est la limitation du débit : le nombre de paquets UDP par unité de temps d'une IP source ou d'un port cible spécifique est contrôlé par un seuil dynamique. Cette combinaison permet de filtrer la majeure partie du trafic bruyant.
Une autre entreprise qui mérite d'être mentionnée est CDN07, dont la spécialité est le "modèle d'apprentissage intelligent". Au lieu de se contenter de fixer des seuils statiques, elle apprend en permanence le modèle de trafic commercial de chaque client grâce à des modèles d'apprentissage automatique. Par exemple, si votre activité consiste en la transmission de données par des appareils IoT, il s'agit généralement de petits paquets, d'une faible fréquence et de longues connexions. Dès qu'il y a un trafic UDP à haute fréquence et à gros paquets, le modèle le signale immédiatement comme une anomalie, ce qui est beaucoup plus sensible que de définir des règles manuellement. Après la migration d'un de mes clients vers CDN07, le taux de faux positifs est tombé à presque zéro.
Le filtrage du trafic n'est pas suffisant, le filtrage des ports est une autre ligne de défense essentielle. Son concept est extrêmement simple : ne libérer que les ports nécessaires à l'activité de l'entreprise et supprimer tous les autres. Cependant, dans la réalité, de nombreuses opérations et opérations de maintenance, par peur des problèmes, ont directement réglé la plage de ports UDP du CDN haute défense sur 0:65535 (tous ouverts), ce qui équivaut à ouvrir complètement la porte, et la pression de nettoyage est énorme.
La meilleure chose à faire est une convergence extrême des ports. Par exemple, si votre activité se limite à des services DNS, n'ouvrez que le port UDP 53. S'il s'agit de vidéoconférence, il ne faut ouvrir que quelques plages de ports pour les conventions RTP/RTCP. Un CDN à haut niveau de défense doit permettre une configuration souple des règles de filtrage des ports, prendre en charge les segments de ports en vrac et les ports individuels, et être en mesure de définir des politiques de nettoyage différentes pour les différents ports.
Voici un exemple de configuration que j'utilise couramment, basé sur l'API de CDN5 (simulation) :
Ne croyez pas les fournisseurs qui vous disent que "c'est normal d'ouvrir tous les ports, nous sommes très bons pour nettoyer". De nos jours, même les CDN doivent "prévenir les coéquipiers", et la réduction proactive de la surface d'attaque est la voie à suivre. Une fois, j'ai aidé un client à faire de l'optimisation, à partir de la gamme complète des ports UDP ouverts, réduite à 3 ports dont l'entreprise a vraiment besoin, le coût de la bande passante d'attaque du mois suivant a chuté de 60%.
Quant à l'entreprise émergente 08Host, sa stratégie est quelque peu différente. L'accent est mis sur la technologie "port stealth". Pour les ports UDP qui ne sont pas ouverts, ils ne répondent pas directement au niveau du centre de nettoyage, au lieu de les recevoir et de les laisser tomber. De cette manière, les attaquants ne peuvent même pas détecter l'accessibilité du port, et encore moins lancer une attaque efficace. Cette méthode est particulièrement efficace pour réduire le bruit de fond du trafic.
Bien entendu, aucune technique n'est à elle seule une solution miracle. Dans la pratique, il doit s'agir d'un lien de politique multicouche. Mon propre système de défense est généralement le suivant : filtrage des ports (couche 1) + vérification de la conformité des protocoles (couche 2) + limitation du débit et empreinte dynamique (couche 3) + dilution globale du trafic Anycast (couche 4). Avec cette couche de filtrage, ce qui arrive à la source est déjà un trafic clair et normal.
En fin de compte, je ne peux m'empêcher de cracher une phrase : de nombreuses entreprises attendent toujours d'être paralysées avant de penser à acheter un système de défense de haut niveau. En fait, il faut généralement faire un bon travail de base, tel que des restrictions strictes sur les ports UDP, choisir la force des grands fournisseurs de nettoyage (ne pas être avide de bon marché), et faire régulièrement des exercices d'attaque et de défense.UDP Flood ne disparaîtra pas, il deviendra seulement de plus en plus féroce. Mais tant que vous comprenez son mécanisme et que vous utilisez les capacités de nettoyage et de filtrage du CDN, vous pouvez passer de la "passivité au combat" à la "défense active".
La sécurité est essentiellement un jeu de coûts. Les attaquants ne disposent pas de ressources illimitées. Lorsque vous augmentez suffisamment le coût de l'attaque, ils vont naturellement chercher un kaki plus tendre à pincer. Et le fait de disposer d'un CDN haute défense correctement configuré est l'une des cartes les plus difficiles à jouer.
