Mon blog

On a beaucoup parlé des attaques DoS par réflexion + amplification en les présentant souvent comme spécifiques à UDP. Mais un article récent (mais passé curieusement inaperçu) montre qu'on peut en faire également avec TCP.

Petit rappel du principe de cette attaque : il y a trois parties, l'attaquant A, la victime V et le réflecteur R. Ce dernier est innocent (il n'a rien contre la victime) mais souvent négligent (il a laissé un réflecteur ouvert alors qu'il n'aurait pas dû). A envoie un paquet IP dont l'adresse source est usurpée : il met l'adresse de V (cela implique que le FAI de A ait ignoré le RFC 2827). L'adresse de destination est celle de R. Celui-ci répond à celui qu'il croit être l'expéditeur, donc à V. Ainsi, R va bombarder V.

Sans amplification, les attaques par réflexion n'ont que peu d'intérêt. Mais ce qui est rigolo, c'est que certains protocoles envoient une réponse plus grande (en nombre de paquets ou bien en nombre d'octets) que la question. On a ainsi une amplification, A obtient plus de paquets ou d'octets qu'il n'en a envoyé. L'efficacité d'un réflecteur se mesure à son PAF (Packet Amplification Factor) ou à son BAF (Bandwidth Amplification Fcator).

Usurper une adresse IP en TCP est très difficile et c'est pour cela que ces attaques, dans la nature, étaient typiquement faites en UDP (en utilisant par exemple NTP). Le seul cas que je connaissais personnellement où on pouvait avoir une amplification avec TCP était la suivante : A envoie un paquet SYN, R transmet le SYN/ACK à V, puis, n'ayant pas de nouvelles de V, réémet le SYN/ACK, typiquement cinq fois. Cela donne donc un PAF de 5 et un BAF ayant la même valeur (le SYN/ACK ayant la même taille que le SYN). Comme toutes les attaques, la pratique est plus compliquée que cela (si V émet un RST en recevant ce SYN/ACK inattendu, cela stoppe la réémission) mais l'attaquant astucieux peut s'en tirer quand même. Ceci dit, un PAF et un BAF de 5 ne font pas une attaque bien terrifiante.

C'est là qu'arrive l'article de Kührer, Hupperich, Rossow et Holz, « Hell of a handshake: Abusing TCP for reflective amplification DDoS attacks » publié à USENIX en août 2014 et apparemment passé relativement inaperçu (merci à Paul Vixie pour me l'avoir signalé).

Les auteurs ont montré qu'il existait d'autres voies d'amplification avec TCP que le SYN/ACK indiqué plus haut et, pire, qu'il existait des machines dans l'Internet qui répondaient et qui étaient disponibles comme réflecteurs. Par exemple, certains systèmes répondent au SYN initial par des paquets de données, souvent de très grande taille, avant même que la triple poignée de mains (l'établissement de la connexion TCP) soit terminée ! (Ce qui justifie ma loi « si une connerie d'implémentation de TCP/IP est possible, alors il existe au moins une machine dans l'Internet qui la fait ».)

Les mesures décrites dans l'article sur un échantillon de vingt millions de machines montrent ainsi plus de 600 000 machines qui répondent sur le port de MySQL dont 8 sont des amplificateurs, avec un BAF moyen de 84 000 (oui, une réponse 84 000 fois plus grosse que la requête). Extrapolé à tout l'Internet IPv4, cela ferait 1 700 amplificateurs MySQL.

Le BAF est plus faible sur les ports FTP ou telnet (de l'ordre de 50) mais il y a beaucoup plus d'amplificateurs (des millions, en extrapolant à tout l'Internet IPv4).

Les analyses des réflecteurs semblent indiquer qu'il s'agit de machines très variées et qu'il n'y a donc pas un vendeur dont l'implémentation particulièrement boguée serait responsable. Par exemple, les machines avec un port telnet ouvert semblent être surtout des routeurs, mais de marques très variées. Les fanas de sécurité noteront toutefois que de nombreuses caméras de vidéosurveillance IP semblent être des réflecteurs. Joie de l'Internet des objets.

Les auteurs discutent aussi des solutions, pour l'instant peu convaincantes. Le mieux, pour la victime, est d'envoyer des RST ou, surtout, des ICMP port unreachable aux réflecteurs : souvent, cela les calme. Mais le problème de fond, surgi de la combinaison entre la possibilité de tricher sur son adresse IP et la disponibilité de nombreux réflecteurs amplificateurs, reste.