Le routage par trou noir est une stratégie d'atténuation des attaques DDoS qui élimine tout le trafic provenant de certaines sources.
Cet article s'articule autour des points suivants :
Contenu associé
Atténuation DDoS
Attaque faible et lente
Attaques ciblant les cryptomonnaies
TCP/IP
Qu’est-ce que l’usurpation d’adresse IP ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le filtrage/routage blackhole DDoS (parfois appelé blackholing) est une contre-mesure pour atténuer une attaque DDoS dans laquelle le trafic réseau est acheminé vers un « blackhole », un trou noir, et s'y perd. Lorsque le filtrage blackhole est mis en œuvre sans critères de restriction spécifiques, le trafic réseau légitime et le trafic malveillant sont tous deux acheminés vers un chemin d'accès NULL (ou trou noir) et supprimé du réseau. Lorsque vous utilisez des protocoles sans connexion tels que UDP, aucune notification de données perdues ne sera renvoyée à la source. Avec les protocoles orientés connexion comme TCP, qui nécessitent un handshake pour se connecter au système cible, une notification sera renvoyée si les données sont abandonnées.
Pour les organisations qui n'ont pas d'autre moyen de bloquer une attaque, le blackholing est une option largement disponible. Cette méthode d'atténuation peut avoir de graves conséquences, ce qui en fait potentiellement une option indésirable pour atténuer une attaque DDoS. De la même manière que les antibiotiques tuent les bonnes et les mauvaises bactéries, lorsqu'ils sont utilisés de manière incorrecte, ce type d'atténuation des attaques DDoS perturbera sans discernement les sources de trafic vers le réseau ou le service. Les attaques sophistiquées utiliseront également des adresses IP et des vecteurs d'attaque variables, ce qui peut limiter l'efficacité de ce type d'atténuation comme seul moyen de contrer l'attaque
L'une des principales conséquences de l'utilisation du routage blackhole lorsque le bon trafic est également affecté est que l'attaquant a essentiellement atteint son objectif consistant à perturber le trafic vers le réseau ou le service cible. Même s'il peut aider un acteur malveillant à atteindre son objectif, le blackholing peut toujours être utile lorsque la cible de l'attaque est un petit site appartenant à un réseau plus vaste. Dans ce cas, le routage blackhole du trafic dirigé vers le site ciblé pourra protéger le réseau plus vaste contre les effets de l'attaque.
En février 2008, YouTube a été en inaccessible pendant deux heures en raison de l'utilisation par Pakistan Telecom du routage blackhole. Cette panne s'est produite après que le ministère pakistanais de la Communication avait envoyé des ordres de blocage de YouTube au Pakistan suite à une vidéo YouTube qui contenait une caricature néerlandaise représentant le prophète Mahomet. Le service de télécommunications du gouvernement du Pakistan a répondu à ces ordre avec une solution de routage blackhole, mais la solution adoptée a créé des effets secondaires inattendus.
Pakistan Telecom a créé un chemin d'accès de trou noir et a diffusé des instructions prétendant être la destination légitime pour ceux qui essayaient d'accéder aux adresses web de YouTube. Ce trafic a ensuite été routé vers le trou noir et abandonné. Le problème est que Pakistan Telecom a utilisé BGP* pour partager cette route avec les FAI du monde entier. Ainsi, le Pakistan a effectivement diffusé aux fournisseurs d'accès Internet du monde entier qu'il était la bonne destination pour le trafic YouTube et a ensuite envoyé tout le trafic adressé à YouTube dans un trou noir. Heureusement, YouTube dispose d'une équipe technique très sophistiquée qui a pu identifier et résoudre rapidement le problème, mais cet exemple montre les risques sérieux liés à l'utilisation du routage blackhole.
*BGP signifie Border Gateway Protocol, il gère la façon dont les paquets sont routés sur Internet. Un autre incident BGP bien connu a même rendu des services Google indisponibles, voir ce post sur le blog de Cloudflare pour en savoir plus.