Comment notifier une attaque DDoS

Dave Piscitello, au nom de l’équipe de sécurité de l’ICANN.

Les attaques DDos sont des problèmes graves. Bien que le rôle de l’ICANN soit limité quant à l’atténuation de ces menaces, l’équipe de sécurité offre ces idées pour augmenter la sensibilisation sur la manière de notifier des attaques DDos

Les attaques décentralisées de déni de service ont augmenté en nombre, en intensité et en fréquence. Le large éventail de motifs de ces attaques – politique (cyber activisme), criminel (contrainte) ou social (malveillance) – fait de chaque commerçant ou organisation ayant une présence en ligne, une cible potentielle. La notion de partage de l’infrastructure d’Internet – qu’il s’agisse d’hébergement, DNS ou bande passante – fait courir le risque à de nombreux commerçants ou organisations de devenir eux aussi des dommages collatéraux. Si vous trouvez que votre site ou votre organisation est la cible d’une attaque, il est important d’informer de cette attaque dès que possible aux équipes les mieux placées qui vous aideront à l’atténuer, la supporter et à restaurer un service normal. 

Je suis la cible d’une attaque. Que dois-je faire ? Qui dois-je appeler?

Tout service Internet – web, DNS, communication vocale sur Internet, courriel – peut être la cible d’une attaque DDos. Si votre organisation utilise un fournisseur d’hébergement pour un service qui est la cible d’une attaque, contactez en premier lieu votre fournisseur d’hébergement. Si votre organisation héberge le réseau ou le service Internet qui est la cible d’une attaque, prenez d’abord des mesures visant à contenir ou freiner cette attaque. Ensuite, appelez le fournisseur de service qui fournit l’accès Internet à votre réseau. La plupart des fournisseurs d’hébergement et des ISP publient des contacts d’urgence sur leurs sites web et il y en a qui mettent les numéros de contact sur leurs factures. Si vous n’avez qu’un numéro de contact général, expliquez que vous êtes la cible d’une attaque et demandez à l’agent de service client de transférer votre appel au personnel responsable des opérations ayant la capacité et l’autorité de mener des enquêtes.

Coups de main

Le trafic associé à une attaque DDoS unique peut provenir de centaines ou de milliers de sources d’attaques (généralement ordinateurs ou serveurs vulnérables). Dans de nombreux cas, votre fournisseur d’hébergement ou votre fournisseur d’accès Internet devront agir en votre nom (et dans son propre intérêt). Ils prendront contact avec les fournisseurs “en amont” et avec les ISP qui routent le trafic depuis les sources de l’attaque DDoS pour informer ces opérateurs sur la nature et les origines suspectes de l’attaque. Ces opérateurs feront une enquête et annuleront généralement les routes ou prendront d’autres mesures pour faire cesser ou écarter le trafic proche de la source.

Si vous ne pouvez pas trouver de contacts, ou si les contacts que vous trouvez ne réagissent pas, essayez de contacter une équipe d’intervention en cas d’incident informatique, d’urgences ou de réponse aux incidents de sécurité informatique (CERT/CIRT/CSIRT) ou une équipe d’Introducteurs de confiance (Trusted introducer – TI). Les organisations CERT/CIRT (vous trouverez la liste nationale ici) ou les équipes TI enquêteront sur une attaque, communiqueront et partageront les informations avec les fournisseurs d’hébergement ou les ISP dont les ressources ont été utilisées pour mener l’attaque et collaboreront avec toutes les parties concernées afin de coordonner une atténuation efficace.

Dois-je contacter les autorités responsables de l’application de la loi ?

Contactez votre organisme national chargé de l’application de la loi si vous pensez qu’un crime a été commis ; par exemple, vous devriez contacter l’organisme chargé de l’application de la loi si votre organisation a reçu une menace avant l’attaque, ou a reçu une demande de rançon pour éviter l’attaque, ou si vous pensez que l’infrastructure essentielle ou la prestation d’un service essentiel (comme les Appels d’urgence au 911) sont menacés.

Contactez l’organisme chargé de l’application de la loi pour notifier un crime, pas pour atténuer une attaque. Les attaques DDos sont des actes criminels dans de nombreuses juridictions. En établissant un rapport, vous-même et d’autres victimes fournissent de précieuses informations qui peuvent s’avérer pertinentes dans toute enquête ultérieure ou toute poursuite des attaquants.

Fournir de bonnes informations

Au niveau opérationnel, vous-même, votre fournisseur d’hébergement ou votre ISP, vous devriez rassembler le plus grand nombre d’informations possible concernant l’attaque. Le forum sur le Niveau de confiance de sécurité des opérations recommande de collecter les types d’informations suivantes :

1. fournissez le plus grand nombre d’informations possibles quant à l’heure: identifier le début de l’attaque, la fin de l’attaque, si les attaques se répètent et s’il existe des schémas ou des cycles observables de ces attaques.
2. partagez toutes les idées ou les soupçons que vous pourriez avoir concernant la nature de l’attaque. Semble-t-elle être en corrélation avec un évènement géopolitique ? Avez-vous reçu une correspondance de menaces avant ou pendant l’attaque et, si tel était le cas, quelle était la nature de la menace ?
3. fournissez des informations détaillées du trafic, notamment : type de trafic (ICMP, DNS, TCP, UDP, application), adresses IP sources et cibles, numéros de ports, débit du paquet, taille du paquet et bande passante consommée par le trafic de l’attaque.
4. décrivez toutes les caractéristiquesuniques du trafic ou du paquet que vous observez. L’attaque a-t-elle pris pour cible un hébergement ou un domaine virtuel particulier ? qu’avez-vous observé depuis les en-têtes de protocole des applications ? avez-vous observé des schémas de paramètres indicateurs inhabituels dans des protocoles sous-jacents (TCP, UDP, ICMP, IP) ?
5. identifiez tous les changements que vous observez au fil du temps (c.-à-d. les tailles et débits de paquets, les IP uniques vus par époque, protocoles, etc.). Ceci peut indiquer que l’attaquant réagit à vos tentatives d’atténuation ou à celles mises en œuvre par des tiers.
6. donnez votre évaluation de l’impact, par exemple, expliquez si vous gérez l’attaque à l’aide d’atténuations et d’assistance, ou si vos services ou votre rendement sont (modérément, fortement) affectés ou si vos services ont été totalement interrompus.

N’attendez pas à devenir vous-même une victime

Si vous n’avez pas encore préparé de plan de réponse à une attaque DDos, envisagez de le faire. L’article Se préparer pour l’ (inévitable) attaque DDos propose une liste de contrôle de contacts, informations et stratégies d’atténuation. Quelques ressources utiles sont énumérées ci-dessous pour mieux comprendre les différentes sortes d’attaques DDos, les techniques d’atténuation et la façon dont votre organisation peut contribuer à réduire la menace globale de ces attaques :

• SAC004, Sécuriser la périphérie
• SAC008, Attaque de refus de service distribué des noms de domaines (DDos) [PDF, 963 KB]
• BCP 38, Filtrage d’entrée au réseau
• BCP 140, Utilisation préventive de serveurs de noms récursifs dans des attaques de réflecteur
• Protéger le monde à partir de VOTRE réseau
• Atténuer les attaques de déni de service des DNS
• La menace inquiétante des attaques par amplification de DDoS des DNS
• En faire plus pour éviter les attaques DDos
• Meilleures pratiques en matière de pare-feu – Filtrage du trafic de sortie
• Déni de service distribué (attaques/outils)