HackOff 22

_ ________________________________________ _ -*2*- `^°*;:,.> - DDOS (suite) - <.,:;*°^` ___________________/¯¯¯¯¯¯¯¯¯¯¯¯¯¯ By Cakeii ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯\_____________________ ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸ ndt : bien que cet article soit du rechauffé il n'a jamais ete autant d'actualite que depuis la mise a l'amende de quelques monstres de l'internet. Et oui, il ne s'agit que d'une traduction mais elle a subi des ameliorations et des mises a jour.

Se proteger des DDoS

Vous pouvez à présent réduire les chances que votre réseau soit employé pour endommager d'autres réseaux si vous mettez en application les deux étapes suivantes :

Filter votre réseau contre les paquets IP contrefaits (spoofer) sortant.
Stopper l'émission de DDoS depuis votre réseau.

Ces deux étapes devront être mises en application immédiatement, et les instructions détaillées pour les mettre en place sont fournies ci-dessous. La large application de ces deux méthodes peut de manière significative réduire la menace constituée par les attaques de type DoS.

Etape 1 : Filter votre réseau contre les paquets IP contrefaits (spoofer) sortant.

But: Empêcher votre réseau d'être la source des communications spoofer (c.-à-d. contrefait) qui sont souvent employées dans des attaques de DoS.

Action: S'assurer que vos routeurs et firewall sont configurés pour expédier les paquets IP seulement si ces paquets ont comme adresse IP source celle de votre réseau. La source correcte de l'adresse(s) IP doit être l'adresse de votre réseau IP qui lui a été assignée. Il est important de faire ceci dans tout votre réseau, particulièrement dans le raccordement externe vers Internet ou vers un fournisseur ascendant.

Étape 1.1: Rejeter Les Adresses sources Invalides

Tous les organismes reliés à l'Internet devraient seulement permettre aux paquets contenant des adresses sources valides de sortir de leur réseau. Ceci réduira au minimum la chance que votre réseau soit la source d'une attaque d'IP contrefait (spoofed IP). Ceci n'empêchera pas des attaques distribuées DoS venant de votre réseau avec des adresses source s valides.

Afin de mettre en application ceci vous devrez connaître les blocs d'adresses du réseau IP qui sont en service sur votre site. Si vous ne connaissez pas cette information actuellement, alors sauter à l'étape 1.2, et revenez à cette étape une fois que vous avez obtenu cette information.

Se prémunir contre le trafic d'adresses IP contrefait peut être accompli par un filtrage sur des routeurs, firewall, et des machines. Voici un exemple générique de filtre :

allow les adresses valides de votre site vers internet
Deny Toutes les autres adresses sources

Sur le routeur(s) relié à votre ISP(s), si l'adresse de l'interface IP qui la relie à l'ISP n'est pas sur un des blocs d'adresses IP de votre site, vous devrez également permettre à l'adresse de l'interface IP de passer.

Pour obtenir des instructions détaillées pour la mise en place de filtre, veuillez choisir la plateforme que vous utilisez dans la liste "étape 1 : directions détaillées " ci-dessous.

Etape 1.2 : Rejet des adresses IP privées et réservées

Cette étape n'est pas nécessaire si vous pouviez accomplir entièrement l'étape 1.1

Si vous n'êtes pas certain de connaitre quel adressage IP est en service actuellement sur votre site, alors vous devrez au moins rejeter les adresses privées (RFC 1918 ) et les adresses IP réservées.

Ce qui suit est une liste d'adresses source qui devront être filtrées.

Si vous utilisé la translation d'adresse (NAT), vous devez vous assurer que vous exécutez bien ce filtre entre votre dispositif NAT et votre ISP, et vous devriez également vérifier que votre configuration NAT traduit seulement l'adresse utilisée et autorisée pour votre plan d'adressage interne.

Rejeter les adresses privées et réservées des adresses IP source peut être accompli par filtrage sur des routeurs, des firewall, et des machines. Pour obtenir des instructions détaillées pour la mise en place de filtre, veuillez choisir la plateforme que vous utilisez dans la liste "étape 1 : directions détaillées " ci-dessous.

Etape 1 : Filter votre réseau contre les paquets IP contrefait (spoofer) sortant.

Veuillez choisir le routeur, le firewall, ou la machine que vous employez dans la liste ci-dessous pour des instructions détaillées sur la façon de mettre en application cette technique :

Etape 2 : Stopper l'émission de DDoS depuis votre réseau

But: s'assurer que votre réseau ne peut pas être employé pour l'émission de DDoS pour inonder d'autres réseaux avec des attaques telles que le "smurf".

Action: Configurer tous vos systèmes (routeurs, postes de travail, serveurs, etc...) de sorte qu'ils ne reçoivent pas ou n'expédient pas de trafic Broadcast dirigé.

Etape 2.1 : Désactiver le Broadcast IP dirigé sur tout le réseau

Les techniques détaillées pour faire ceci sont disponibles pour les systèmes suivants.

Bay
Cisco

Pour tous les autres systèmes, aller à http://users.quadrunner.com/chuegen/smurf/ où vous trouverez la page de Craig Huegen qui fait autorité dans ce domaine, celle ci contient des instructions pour beaucoup d'autres types de systèmes.

Les systèmes suivants ont le Broadcast dirigé désactivé par défaut. Cependant, sur ces systèmes il peut y avoir une manière detourner pour enclencher ce comportement. Veuillez choisir le lien pour votre plateforme afin de s'assurer que le système est désactivé par défaut, et ne permet pas des Broadcast dirigés.

Pour windows NT 4,0, le comportement par défaut pour les paquets Broadcast dirigés a été modifié dans le service pack 4. Les derniers service pack pour NT peuvent être obtenus sur le site de Microsoft http://support.microsoft.com/support/kb/articles/Q152/7/34.ASP

Etape 2.2 Tester votre réseau pour déterminer si c'est un site de génération de DDoS

Pour examiner votre réseau afin de voir s'il agit en tant qu'emetteur de DDoS vous pouvez employer la commande "ping" pour envoyer un paquet 'echo request' à l'adresse de base du réseau et à l'adresse Broadcast de votre réseau.

Vous devrez connaitre l'adresse IP de base du réseau et votre adresse de Broadcast. Le Tableau CIDR peut être utile pour déterminer les adresses de votre réseau.

depuis une machine du côté d'Internet (c.-à-d. en dehors du réseau) pinger les deux adresses de base de réseau (x.x.x.0 pour une /24 de classes C) et de Broadcast (x.x.x.255 pour une /24 de classe C) d'un sous-réseau interne avec un certain nombre de machines dessus.

Choisir parmi la liste suivante le système d'exploitation pour des instructions détaillées sur l'employe de la commande ping et l'analyse pour déterminer si votre réseau est un site d'amplification de Broadcast.

Une autre manière d'examiner votre réseau est d'aller sur une site web publique qui teste votre réseau à distance.

Il est important de savoir que ces sites sont actionnés par les tiers indépendants, et que vous devrez employer ce type de site à votre propre risque. Si votre site est faible il peut être ajouté à une " liste noire " qui peut alors être employé par des attaquants pour identifier votre site et devenir un 'bon' site pour faire de l'amplification de Broadcast. Pour cette raison vous êtes fortement encouragés à l'auto-test avec les commandes de ping énumérées ci-dessus.

Étape 2.3: Exiger que les fournisseurs désactivent le Broadcast dirigée par défaut.

Quand vous achetez de nouveaux systèmes, exiger que le fournisseur désactivent la réception et l'expédition des paquets de Broadcast dirigés comme indiqué dans le RFC 2644.

Dans le RFC 2644

Un routeur PEUT avoir une option de configuration pour lui permettre de recevoir les paquets Broadcast dirigés, toutefois cette option DOIT être désactivée par défaut, et le routeur NE DOIT PAS recevoir les paquets Broadcast dirigés à moins qu'un utilisateur les spécifiquement configuré. Un routeur PEUT avoir une option pour permettre de recevoir un prefix réseau de Broadcat dirigés sur une interface et PEUT avoir une option pour permettre un prefix réseau Broadcast dirigées pour l'expédition. Ces options DOIVENT être par défaut bloquées pour la réception et l'expédition de prefix réseau de Broadcast dirigés. Sur cette base vous devrez demander à vos fournisseurs si le Broadcast dirigé est désactivé par défaut. Au minimun le fournisseur devrait fournir un mécanisme pour désactiver le Broadcast dirigé.

Quelques fournisseurs désactivent déjà le Broadcast dirigé par défaut dans les dernières versions de leur logiciel, mais beaucoup ne le font pas. Penser à éducer les fournisseurs en les dirigeant vers le RFC 2644..

Original :

www.sans.org/ddos.htm

Traduit :

par cakeii - Cakeii@usa.net