Spamhaus DDoS
#while42
Sebastien Pahl
Matthieu Tourne
sebastien@cloudflare.com
matthieu@cloudflare.com
Friday, June 28, 13
Spamhaus
2
Organisation internationale de lutte antispam
• Maintient des listes d’adresse IP malveillantes
• Utilisé par b...
Pourquoi cette attaque?
Spamhaus ajoute des IPs de clients de l’hébergeur
hollandais “Cyberbunker” au listes.
• Spamhaus d...
Cloudflare aide Spamhaus
Pourquoi Cloudflare protège Spamhaus?
• Cloudflare se veut neutre
• Améliorer internet pour tout le ...
Utilisation de CloudFlare
5
CloudFlare
Client
Client
Client
Origin
Friday, June 28, 13
Réseau Cloudflare
6
Friday, June 28, 13
Fonctionalitées
7
Caching
Optimisation de contenu
Sécurité
Friday, June 28, 13
Types d’attaques
Layer 3/4
SMURF
ACK
Layer 7
DNS Amplification
8
Friday, June 28, 13
DNS Amplification
9
Friday, June 28, 13
DNS Amplification
10
Friday, June 28, 13
DNS Amplification
11
Friday, June 28, 13
This is the Internet
12
Friday, June 28, 13
Breaking point - Attack #1
13
Spamhaus up, l’attaquant s’en prend à notre infrastructure.
En pratique:
• traceroute www.sp...
Breaking point - Attack #1
14
Friday, June 28, 13
Breaking point - Mitigation #1
15
Mitigation avec nos “upstreams”:
• Mitigation humaine (aka, téléphone)
• Utilisation d’a...
Breaking point - Attack #2
16
Friday, June 28, 13
Breaking point - Mitigation #2
17
Internet Exchange Point ?
Mitigation avec LINX (London Internet Exchange) :
• Plus diffici...
Leçons
• Utilisation d’IP privées pour les interconnexions
• Lutte contre les Récurseurs DNS ouverts
• Exposition publique...
Questions ?
Friday, June 28, 13
Prochain SlideShare
Chargement dans…5
×

Spamhaus DDoS - FR

5 934 vues

Publié le

Détail des différentes attaques de déni de services sur spamhaus.org observé sur le réseau CloudFlare.

Publié dans : Technologie
0 commentaire
3 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
5 934
Sur SlideShare
0
Issues des intégrations
0
Intégrations
559
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
3
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Spamhaus DDoS - FR

  1. Spamhaus DDoS #while42 Sebastien Pahl Matthieu Tourne sebastien@cloudflare.com matthieu@cloudflare.com Friday, June 28, 13
  2. Spamhaus 2 Organisation internationale de lutte antispam • Maintient des listes d’adresse IP malveillantes • Utilisé par beaucoup d’entreprises et logiciels Friday, June 28, 13
  3. Pourquoi cette attaque? Spamhaus ajoute des IPs de clients de l’hébergeur hollandais “Cyberbunker” au listes. • Spamhaus demande a Cyberbunker de bloquer le spam • Refus de coopération • Cyberbunker accuse Spamhaus de jouer à la police du net 3 Friday, June 28, 13
  4. Cloudflare aide Spamhaus Pourquoi Cloudflare protège Spamhaus? • Cloudflare se veut neutre • Améliorer internet pour tout le monde 4 Friday, June 28, 13
  5. Utilisation de CloudFlare 5 CloudFlare Client Client Client Origin Friday, June 28, 13
  6. Réseau Cloudflare 6 Friday, June 28, 13
  7. Fonctionalitées 7 Caching Optimisation de contenu Sécurité Friday, June 28, 13
  8. Types d’attaques Layer 3/4 SMURF ACK Layer 7 DNS Amplification 8 Friday, June 28, 13
  9. DNS Amplification 9 Friday, June 28, 13
  10. DNS Amplification 10 Friday, June 28, 13
  11. DNS Amplification 11 Friday, June 28, 13
  12. This is the Internet 12 Friday, June 28, 13
  13. Breaking point - Attack #1 13 Spamhaus up, l’attaquant s’en prend à notre infrastructure. En pratique: • traceroute www.spamhaus.org, la dernière IP routable est notre point de connexion avec nos fournisseurs de BP. • 300 gbs de traffic == ouch. Friday, June 28, 13
  14. Breaking point - Attack #1 14 Friday, June 28, 13
  15. Breaking point - Mitigation #1 15 Mitigation avec nos “upstreams”: • Mitigation humaine (aka, téléphone) • Utilisation d’addresses non-routables (rfc 1918) • “Ingress filtering” (bcp-38) Friday, June 28, 13
  16. Breaking point - Attack #2 16 Friday, June 28, 13
  17. Breaking point - Mitigation #2 17 Internet Exchange Point ? Mitigation avec LINX (London Internet Exchange) : • Plus difficile (subnet partagé entre beaucoup de réseaux) • “Abandon” de LINX jusqu’à la fin de l’attaque. Friday, June 28, 13
  18. Leçons • Utilisation d’IP privées pour les interconnexions • Lutte contre les Récurseurs DNS ouverts • Exposition publique • Ingress filtering (bcp-38) • ... • 300 gbs, yeah right! 18 Friday, June 28, 13
  19. Questions ? Friday, June 28, 13

×