Deni de service DDOS

Caractéristiques

• Une attaque DDOS (Distributed Denial of Service) consiste en la réception d’une énorme quantité de demande pour faire tomber un service. Ces attaques sont destinées à des systèmes ou des applications.

Situations possibles

Impossible d’accéder à un site web

Certains services ou applications sont inaccessibles

La connexion réseau est très lente

Stratégie de réponse

1. Qualification

• Collaborer avec les métiers pour évaluer les risques selon différents scénarios d’attaques DDoS
• Impliquer les équipes PCA /PRA sur les incidents DDoS
• Comprendre le flot logique de l’attaque DDoS et identifier les composants de l’infrastructure affectée par l’attaque
• Comprendre si l’entreprise est la cible ou une victime collatérale de l’attaque
• Revoir la charge et les traces des serveurs, routeurs, pare-feu, applications et des autres éléments affectés.
• Identifier quels sont les éléments qui différencient le trafic de l’attaque du trafic Bénin : Adresse IP source, port de destination, url, flaque de protocole…
• Contacter le FAI pour demander de l’aide. Être spécifique à propos du trafic à contrôler : les blocs réseaux impliqués, les adresses IP source, les protocoles …
• Notifier les équipes juridiques et exécutives de l’entreprise.
• Détecter si l’entreprise a reçu des demandes d’extorsion avant l’attaque.
• Cherchez si quelqu’un aurait un quelconque intérêt à menacer l’entreprise : concurrents, groupe idéologique, hacktiviste, anciens employés…
• Envisager une possibilité de diversion pour réaliser une fraude ou un vol de données

Des outils d’analyse réseau peuvent être utilisés pour revoir le trafic : TCPdump, Tshark, Snort, Argus, Ntop, Aguri, MRTG, F5. SI possible, créer une signature NIDS pour se focaliser suer la différenciation entre le trafic bénin et celui malveillant.

2. Confinement

• Si l’attaque vise une partie spécifique d’une application, désactiver temporairement cette fonctionnalité.
• Tenter de réduire ou de bloquer le trafic DDoS grâce aux équipements réseau : routeurs, pare-feu, répartiteurs de charge, équipements spécialisés…
• Si possible, basculer sur un site ou un réseau alternatif en utilisant par exemple le mécanisme de DNS.
• Dérouter le trafic vers un << trou noir » en ciblant l’adresse IP originale.
• Mettre en place un canal de communication alternatif pour communiquer avec les clients (serveur web, serveur mail, téléphonie…)
• Configurer les routeurs de sortie pour bloquer le trafic que les systèmes pourraient envoyer en réponse du trafic DDOS (backsquatter traffic), pour éviter d’ajouter des paquets supplémentaires sur le réseau

En cas de tentative d’extorsion, essayer de gagner du temps avec le fraudeur. Par exemple, expliquer qu’il faut plus de temps pour avoir l’approbation du management. Si possible, router le trafic à travers un service ou un équipement de filtrage réseau via DNS ou via changement de routage (« Vers un << trou noir »)

3. Remédiation

• Contacter le fournisseur d’accès internet et s’assurer qu’il applique des mesures de remédiation
• Si les responsables du DDOS ont été identifiés, envisager l’engagement des poursuites judiciaires Cela doit être fait conjointement avec la direction de l’entreprise et les équipes juridiques.
• Si possible faire appliquer les mesures de remédiation techniques par les fournisseurs d’accès Internet

Les mesures de remédiation peuvent être Du filtrage ou un déroutage vers une trou noir »

4. Récupération

• S’assurer que les services impactés sont nouveaux atteignables.
• S’assurer que les performances de l’infrastructure sont retournées à leur état de base.
• Rebasculer le trafic vers le réseau original. Redémarrer les services arrêtés.

Assistance en cas de problème

• Veuillez-vous faire assister par un prestataire cybersécurité locale que vous aurez préalablement identifiés
• Contactez vos correspondant « infrastructures et sécurité » qui vous apporteront leur assistance et compétences pour traiter l’incident