Dr. Sven Dietrich est chercheur dans l'équipe Survivable Systems Engineering dans le CERT Coordination Center à Carnegie Mellon University à Pittsburgh aux Etats-Unis. Ses intérêts de recherche sont la sécurité informatique, la sécurité des réseaux, et la cryptographie. Il travaille sur le déni de service depuis 5 ans. Il détient un doctorat en mathématiques de Adelphi University à New York. Son nouveau livre "Internet Denial of Service: Attack and Defense Mechanisms", co-ecrit avec Jelena Mirkovic, David Dittrich, et Peter Reiher, paraîtra en janvier 2005 aux éditions Prentice Hall.
Sujet: Déni de service - 04/12/2004
1- Qu'est ce que le déni de service et le déni de service distribué ?
Dr S. Dietrich: Le déni de service et une attaque contre un système, informatique ou non. Cette attaque ralentit ou empêche l'accès des utilisateurs légitimes à un système. Cela peut être une attaque sur l'Internet (attaque sur un serveur particulier) ou bien sur un système non informatique, comme le réseau électrique ou téléphonique, par des méthodes électroniques ou physiques. Le déni de service distribué est la variante distribuée du déni de service mentionné ci-dessus. Dans ce cas, plusieurs agents (soit des personnes si c'est dans le monde réel, ou bien des programmes spéciaux si c'est dans le monde virtuel de l'Internet) attaquent une cible en même temps. Le nombre d'agents pour les attaques de réseau Internet peut varier d'une cinquantaine à plusieurs centaines de milliers.
Dr S. Dietrich: Le déni de service et une attaque contre un système, informatique ou non. Cette attaque ralentit ou empêche l'accès des utilisateurs légitimes à un système. Cela peut être une attaque sur l'Internet (attaque sur un serveur particulier) ou bien sur un système non informatique, comme le réseau électrique ou téléphonique, par des méthodes électroniques ou physiques. Le déni de service distribué est la variante distribuée du déni de service mentionné ci-dessus. Dans ce cas, plusieurs agents (soit des personnes si c'est dans le monde réel, ou bien des programmes spéciaux si c'est dans le monde virtuel de l'Internet) attaquent une cible en même temps. Le nombre d'agents pour les attaques de réseau Internet peut varier d'une cinquantaine à plusieurs centaines de milliers.
2- Quelles sont les célèbres attaques de déni de service ayant visé de grands sites sur le net ?
Dr S. Dietrich: Pour les attaques de déni de service distribué, il y a eu l'attaque de l'université de Minnesota en août 1999 (entre 2000 et 5000 agents) qui a duré trois jours, ensuite l'attaque sur des sites commerciaux en février 2000, et l'attaque sur les serveurs DNS (Domain Name Service) en octobre 2002. La liste est longue, mais voila une petite sélection. Pour le déni de service non malveillant, il ne faut pas oublier le cas du AS 7007 en avril 1997, qui coupa l'accès Internet pendant des heures à cause d'une erreur de configuration sur un routeur.
Dr S. Dietrich: Pour les attaques de déni de service distribué, il y a eu l'attaque de l'université de Minnesota en août 1999 (entre 2000 et 5000 agents) qui a duré trois jours, ensuite l'attaque sur des sites commerciaux en février 2000, et l'attaque sur les serveurs DNS (Domain Name Service) en octobre 2002. La liste est longue, mais voila une petite sélection. Pour le déni de service non malveillant, il ne faut pas oublier le cas du AS 7007 en avril 1997, qui coupa l'accès Internet pendant des heures à cause d'une erreur de configuration sur un routeur.
3- Pouvez vous nous donner des exemples d'outils et techniques qui permettent de réaliser un DDOS ?
Dr S. Dietrich: Il y a les outils classiques, comme Trinoo, TFN, Shaft, et Stacheldraht, qui en somme utilisent des paquets de réseau UDP, ou des TCP SYN, ICMP, avec ou sans amplification sur un réseau tertiaire. Une simple recherche sur Internet trouvera des outils DDoS, mais je ne peux que décourager leur utilisation.
Dr S. Dietrich: Il y a les outils classiques, comme Trinoo, TFN, Shaft, et Stacheldraht, qui en somme utilisent des paquets de réseau UDP, ou des TCP SYN, ICMP, avec ou sans amplification sur un réseau tertiaire. Une simple recherche sur Internet trouvera des outils DDoS, mais je ne peux que décourager leur utilisation.
4- Y a-t-il des vulnérabilités spécifiques qui sont exploitées par les attaques de DOS ?
Dr S. Dietrich: Tout ce qui est possible est exploité.
Dr S. Dietrich: Tout ce qui est possible est exploité.
5- Comment détecter que sa propre machine participe à une telle attaque ? et auquel cas quelles sont les mesures à prendre pour l'empêcher d'y participer?
Dr S. Dietrich: Par des vérifications d'intégrité comme Tripwire, ou bien par des méthodes externes à l'ordinateur, comme des outils d'analyse de réseau. Cela n'est pas toujours facile d'empêcher un système d'y participer, mais en général de bonnes règles pour les pare-feu et une bonne hygiène du système d'exploitation (tous les 'updates' mis en place) permettent une certaine prévention.
Dr S. Dietrich: Par des vérifications d'intégrité comme Tripwire, ou bien par des méthodes externes à l'ordinateur, comme des outils d'analyse de réseau. Cela n'est pas toujours facile d'empêcher un système d'y participer, mais en général de bonnes règles pour les pare-feu et une bonne hygiène du système d'exploitation (tous les 'updates' mis en place) permettent une certaine prévention.
6- Quelles sont les solutions que peut offrir un provider pour éviter les attaques DDos contre les sites web ?
Dr S. Dietrich: L'éducation de ses utilisateurs et une analyse constante du réseau comme prophylaxie, mais rien ne peut empêcher une attaque visée sur un site web sinon une bande passante en excès des masses de paquets envoyés vers la cible. En général, c'est une bonne idée pour un provider d'avoir des connections non-Internet avec les autres providers en amont pour coordonner une réponse visée sur une attaque particulière. Le rapport publié en Décembre 1999 intitulé : "The Distributed Systems Intruder Tools Workshop Report" est une lecture obligatoire (et mon livre aussi, bien sûr).
Dr S. Dietrich: L'éducation de ses utilisateurs et une analyse constante du réseau comme prophylaxie, mais rien ne peut empêcher une attaque visée sur un site web sinon une bande passante en excès des masses de paquets envoyés vers la cible. En général, c'est une bonne idée pour un provider d'avoir des connections non-Internet avec les autres providers en amont pour coordonner une réponse visée sur une attaque particulière. Le rapport publié en Décembre 1999 intitulé : "The Distributed Systems Intruder Tools Workshop Report" est une lecture obligatoire (et mon livre aussi, bien sûr).
7- A propos du livre que vous allez publier prochainement, pouvez-vous nous donner plus de détails ?
Dr S. Dietrich: Oui, bien sûr. Le livre sera publié en Décembre 2004 avec Prentice Hall/Pearson Education, et est intitule: "Internet Denial of Service: Attack and Defense Mechanisms", de Jelena Mirkovic, Sven Dietrich, David Dittrich, et Peter Reiher. 400 pages, environ. Le livre décrit les méthodes utilisées pour les attaques de déni de service, ainsi que les méthodes de défense (pratiques, théoriques et de recherche) contre ces attaques. En outre, quelques attaques célèbres illustrent le contexte de ce livre. L'aspect légal (du point de vue des Etats-Unis) ne manque pas non plus. Voir: http://vig.prenhall.com/catalog/academic/product/0,1144,0131475738,00.html
Dr S. Dietrich: Oui, bien sûr. Le livre sera publié en Décembre 2004 avec Prentice Hall/Pearson Education, et est intitule: "Internet Denial of Service: Attack and Defense Mechanisms", de Jelena Mirkovic, Sven Dietrich, David Dittrich, et Peter Reiher. 400 pages, environ. Le livre décrit les méthodes utilisées pour les attaques de déni de service, ainsi que les méthodes de défense (pratiques, théoriques et de recherche) contre ces attaques. En outre, quelques attaques célèbres illustrent le contexte de ce livre. L'aspect légal (du point de vue des Etats-Unis) ne manque pas non plus. Voir: http://vig.prenhall.com/catalog/academic/product/0,1144,0131475738,00.html
