Retour avec Cedexis sur l'attaque DDoS qui a rendu une partie de la presse inaccessible

Retour avec Cedexis sur l’attaque DDoS qui a rendu une partie de la presse inaccessible

DDoS hard

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

16/05/2017 5 minutes
19

Retour avec Cedexis sur l'attaque DDoS qui a rendu une partie de la presse inaccessible

Le 10 mai, Cedexis a subi une large attaque DDoS. Plusieurs médias français, qui s'appuient sur ses services, étaient inaccessibles une partie de la journée. Un baptême du feu pour la jeune pousse, qui revient pour nous sur cet événement.

Le 10 mai, de nombreux sites étaient inaccessibles en France. Parmi eux, de grands titres de presse comme Le Figaro, Le Monde, Le Parisien ou encore L'Équipe. Leur point commun ? Ils s'appuient sur Cedexis, « l'aiguilleur du Net » qui dirige chaque internaute vers l'hébergeur, CDN ou cloud le plus proche, dans le but d'optimiser les temps de chargement. Ce jour-là, il subissait une attaque DDoS d'envergure, qui a mis hors service une partie de son infrastructure.

Sur les cinq réseaux DNS Anycast de l'entreprise, trois ont été touchés dans la journée, en trois vagues. La première, intervenue tôt le 10 mai, n'a pas été aperçue par l'entreprise. C'est la deuxième, entre 10h46 et 17h30 (UTC), qui a mis une partie du service à genoux. « À 12h55 UTC, nous étions en échec client, une requête sur cinq passait sur trois de nos cinq réseaux Anycast. Tout est revenu à la normale à 15h06 » nous déclare Julien Coulon, fondateur de Cedexis. Une troisième vague a, enfin, été ressentie entre 20h30 et 1h30 « sans impacter les clients ».

L'attaque par saturation de requêtes DNS a surtout affecté la France. « Elle a été dirigée vers le réseau le plus rapide, ce sont donc les clients français qui ont été les plus touchés » explique l'entreprise. Elle estime que l'impact pour une majorité de sites a duré entre cinq et 53 minutes.

Jusqu'à 1,6 million de requêtes DNS par seconde

Une procédure d'urgence a été mise en place. Les clients ont contourné le service, en dirigeant directement les internautes vers l'un de leurs hébergeurs de contenus, plutôt que d'être aiguillés entre plusieurs par Cedexis.  « Les sites paraissaient malheureusement plus lents, ils ont perdu en qualité de service. Nous sommes une sorte de load balancer DNS, qui sélectionne le prestataire vers lequel envoyer le trafic » détaille la société.

« D’habitude, notre réseau tourne entre 5 % et 10 % de sa capacité, soit entre 30 et 60 000 requêtes par seconde. À 10h46, nous étions à 150 000 requêtes par seconde, et 1,6 million à 11h19... Soit 50 fois le trafic maximum que nous sommes censés absorber » calcule Julien Coulon.

« Dans un trafic normal, entre 1,2 et 1,7 million de résolveurs IP nous contactent, pour environ un milliard de personnes par jour. Pendant l'attaque entre 17h30 et 20h30, c'est monté à 112 millions d’adresses IP, soit 100 fois le pic. Nous avons été contactés par 105 millions d’adresses IP complètement inconnues, ce qui provient sûrement d'un botnet d'objets connectés » déduit le patron de Cedexis.

Une attaque DDoS « intelligente »

« Nous subissons souvent des attaques mais c’est la première fois en sept ans que cela impacte nos clients » affirme Coulon, qui dit avoir reçu le soutien de ses utilisateurs. L'entreprise pense que c'est l'un d'eux qui était visé, même si elle n'a pas identifié de cible précise.

Elle pense les vagues de DDoS élaborées : « Nous ne sommes pas le DNS primaire de nos clients. D’habitude une attaque DDoS cible le primaire ou l'IP du serveur. Ici, ils ont attaqué un intermédiaire, ce qui prouve que l'offensive était intelligente et que Cedexis est devenu un acteur clé de l'infrastructure du Net ». 

Si le service a été rétabli assez rapidement pour les clients, tout n'était pas parfait. « Deux, trois choses ne se sont pas passées comme je le voulais. Notre plan d'urgence, déjà dessiné, a bien fonctionné » estime la société. Il lui manquait pourtant quelques contacts utiles et elle a dû mettre en place des mesures qui n'étaient pas là précédemment. 

« Une dizaine de procédures ont été initiées en urgence » et sont encore en train de s'installer. Cedexis refuse de détailler ses actions, mais elles concernent au moins le réseau lui-même, la gestion logicielle et la détection des attaques. À la toute première vague, le 10 mai avant 10h, celle-ci songeait à un simple pic d'activité de l'un de ses clients.

Un dépôt de plainte envisagé 

Malgré l'indisponibilité temporaire de certains sites, Cedexis refuse d'être qualifié de point de défaillance (single point of failure). D'une part, elle dispose d'un système de secours (fallback) et, d'autre part, peut être contourné au besoin. La durée de la mise en place du contournement dépendant des paramètres DNS du client, avec une réjuvénation conseillée à dix minutes. Le Monde, par exemple, a signalé avoir mis en place son contournement vers 16h30, heure française.

« La majorité des clients ont rebasculé tout de suite chez nous. D’autres ont des TTL DNS plus longs, mettant plus de temps à revenir » affirme le service. S'il ne se risque pas à une attribution de l'attaque, des signes semblent pointer l'Asie, estime-t-il. « La tempête est passée mais je reste vigilant. Ça va toujours par salves. On a tout de même subi neuf heures de tentative de déni de service après être tombés » déclare encore Julien Coulon.

L'entreprise est rapidement entrée en contact avec l'Agence nationale de sécurité des systèmes d'information (ANSSI). Elle envisage de déposer plainte, sur sa recommandation.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Jusqu'à 1,6 million de requêtes DNS par seconde

Une attaque DDoS « intelligente »

Un dépôt de plainte envisagé 

Commentaires (19)




“… une requête sur cinq passait sur trois de nos cinq serveurs Anycast.”





Perceval travaille chez Cedexis ?


“avec une réjuvénation conseillée à dix minutes”

1ère fois que je vois ce mot, encore un terme technique traduit de l’anglais grâce à la loi Toubon…


Surtout employé en cosmétique pour les crèmes “rajeunissantes”, mais c’est la 1ère fois que je le vois dans le contexte IT et je ne sais pas ce qu’il signifie là.








rastabanane a écrit :



“avec une réjuvénation conseillée à dix minutes”

1ère fois que je vois ce mot, encore un terme technique traduit de l’anglais grâce à la loi Toubon…







Non, non, c’est un terme tout ce qu’il y a de français



Ok merci pour le lien, je continuerai quand même à dire “propagation” DNS <img data-src=" />


Je ne suis pas sûr de comprendre cette partie :





112 millions d’adresses IP





Comment peut-on parler de 112 millions d’adresses IP dans le cadre d’un DNS, vu qu’il n’y a aucune sécurisation de la source, et que par conséquent, une seule adresse IP peut générer des requêtes provenant de n’importe quelle adresse IP de la planète ?



Je suis troublé. Quelqu’un peut-il m’expliquer ce qui m’échappe ?


En gros ce qu’il dit c’est que d’habitude les client tapent pas direct leurs DNS mais passe par d’autres DNS (intermédiaire) ce qui limite le nombre d’IP qu’ils voient et aussi les requêtes qu’ils reçoivent grâce au cache de ces autres DNS.

La preuve du DDOS c’est que les requêtes étaient directement envoyée chez eux.

en tout cas c’est ce que je comprends de l’explication.


Pour moi la propagation est le résultat, donc le terme reste valide.



&nbsp; &nbsp;réjuvénation c’est la méthode, la cause. Mais j’utiliserai plutôt rafraichissement du DNS, mise à jour, synchronisation ^^


Ok, merci&nbsp;<img data-src=" />


<img data-src=" />








127.0.0.1 a écrit :



Perceval travaille chez Cedexis ?







Vu qu’on parle de réjuvénation, c’est qu’il devait y avoir des vieux dans cette histoire <img data-src=" />



moi, j’aurai dit renouvellement ou bien rafraichissement …



Mais cette dernière peut confondu avec la bière&nbsp;<img data-src=" />

&nbsp;



<img data-src=" /> ok je sors ….


de toute facon y a toujours des vieux, c’est mystérieux <img data-src=" />


C’est malin, tu m’as donné soif !

<img data-src=" />


En tant que dégueulé… heu… en tant que délégué de ligue antialcoolique,

je vous parlerai de… de l’eau révugé… réjufé… de l’eau réjuvégineuse. <img data-src=" />


&nbsp; Excellent<img data-src=" />


Renouvellement c’était trop simple, les béotiens risquaient de comprendre.


Non !