ACTUALITÉ SCIENTIFIQUE
ET INNOVATION DE L'ÉTS
CoFence : Une défense collaborative contre les DDoS - Par : Duong Tuan Nguyen,

CoFence : Une défense collaborative contre les DDoS


Les professeurs Mohamed Cheriet et Kim Khoa Nguyen du laboratoire de recherche Synchromedia ont organisé une mini-conférence, dans le cadre de la 12e conférence internationale sur la gestion des réseaux et services (CNSM) de l’IEEE, qui s’est tenue du 31 octobre au 4 novembre 2016 à l’École de technologie supérieure (ÉTS).

Cet article est un aperçu de la conférence CoFence: A Collaborative DDoS Defence Using Network Function Virtualization, présentée par Carol Fung, professeure agrégée de sciences informatiques à l’Université Virginia Commonwealth. Il a été écrit par un étudiant-chercheur du laboratoire de recherche Synchromedia, qui a assisté à cette conférence.

CoFence, une plate-forme de virtualisation destinée à traiter un nombre important d’attaques par déni de service distribué (DDoS), au moyen du partage des ressources. Ce partage permet à un réseau de domaine de décider de la quantité de ressources à partager avec d’autres domaines tout en garantissant l’équité, la compatibilité des mesures incitatives et la réciprocité.

Attaques DDoS : Comment les atténuer ?

En quelques mots, une attaque par déni de service distribué (DDoS) est une tentative d’interrompre temporairement ou indéfiniment les fonctions d’un serveur en l’inondant de grandes quantités de demandes provenant de sources multiples. L’entrée de ce type d’attaque se fait par un énorme réseau d’ordinateurs infectés, nommé « botnet », générant assez de trafic pour surcharger la victime. En raison de la prolifération du marché noir et de la croissance du « DDoS en tant que service », les attaques de DDoS sont de plus en plus malfaisantes, jusqu’à prendre des proportions cauchemardesques. On se souvient encore de l’attaque DDoS contre les campagnes de Clinton et de Trump, il y a quelques mois.

L’approche directe pour limiter les DDoS est de bloquer le trafic identifié comme malveillant et de permettre le passage du trafic légitime. Une autre approche consiste à retrouver les origines d’un botnet. En fait, peu importe le niveau d’efficacité théorique de ces deux méthodes pour détecter un DDoS potentiel, l’une ou l’autre peut épuiser les ressources disponibles quand le nombre de demandes augmente. Par conséquent, l’atténuation des DDoS au moyen de périphériques classiques est limitée non seulement par la capacité de calcul des fonctions de réseau dédiées (ex. pare-feu, IPS), mais également par le coût élevé et le temps de cycle long nécessaires à la mise à niveau ou à l’ajout de matériel. Les auteurs de l’article [1] traitent de la question en proposant la technologie Network Function Virtualization (NFV) qui a le potentiel d’accélérer la mise à niveau des périphériques et le partage des ressources, et ce, à faible coût, offrant ainsi une excellente défense contre les DDoS. L’idée est de partager des domaines pour s’entraider quand l’un est confronté à un éventuel trafic de DDoS. En d’autres termes, le trafic excessif vers un domaine pourrait être dirigé vers d’autres domaines externes fiables qui sont responsables de nettoyer le DDoS et de retourner le trafic filtré vers le domaine ciblé. Le même processus tient pour traiter les situations où plusieurs domaines demandent de l’aide.

Défense collaborative des DDoS (CoFense)

L’objectif de CoFence est de fournir une plate-forme pour permettre aux réseaux de domaine (ex. un réseau d’entreprise ou un FAI) de s’entraider afin de réduire leur vulnérabilité contre les attaques DDoS à grande échelle. En tirant parti de l’élasticité et de l’agilité des réseaux en nuage, chaque réseau de domaines avec NFV peut mettre à contribution son surplus de ressources pour aider d’autres domaines du réseau au besoin. Comme le montre l’étude de cas à la Figure 1, le Domaine 1 est équipé de périphériques virtuels (passerelle, IPS, pare-feu) dont la capacité peut être configurée de façon dynamique grâce à la technologie NFV. Lorsqu’il reçoit du trafic externe, l’IPS virtuel détermine s’il s’agit ou non d’une attaque DDoS de botnet au serveur public. Le cas échéant, une partie du trafic entrant est redirigé vers d’autres domaines (représenté par les flèches rouges). Le trafic filtré est ensuite retourné au Domaine 1.

Manière dont CoFence contre les attaques Distributed Denial of Service (DDoS)

Figure 1 Étude de cas sur la défense collaborative contre les DDoS

Mécanisme de partage des ressources

Ce mécanisme consiste à décider si un domaine est disposé à partager ses ressources disponibles pour aider les autres et, si oui, jusqu’à quel niveau. Il existe trois buts lors de la conception d’un mécanisme de partage des ressources, à savoir, l’équité, la compatibilité des mesures incitatives et la réciprocité.

Pour construire un tel mécanisme, il est important pour un nœud réseau de reconnaître à quel niveau les nœuds voisins ont pu aider dans le passé. Les auteurs proposent des « crédits d’aide » qui représentent le niveau cumulatif d’aide qu’un nœud a offert dans le passé. Par conséquent, lorsqu’un domaine est sous attaque DDoS, il demande d’abord l’aide du voisin ayant le plus de crédits avant celle des autres. Une fois le processus terminé, le domaine met à jour les crédits de ses voisins. Pour plus de détails sur le mécanisme de crédit et l’algorithme de collaboration, les lecteurs intéressés peuvent consulter le document [1].

Résultats expérimentaux

Les avantages des plates-formes à base du NFV comme CoFense, dans la lutte contre les DDoS, sont démontrés par les résultats expérimentaux de diverses études de cas.

Comme indiqué à la Figure 2, le nœud  est surchargé du temps 10 s au temps 20 s pendant une attaque DDoS et doit typiquement abandonner l’ensemble du trafic.

un nœud surchargé pendant une attaque DDoS sans CoFence

Figure 2 Taux d’abandon des nœuds sans CoFence

Cependant, ce taux d’abandon diminue un peu (Figure 3) lorsque CoFence est déployé et accepte le soutien externe de son voisin.

Le taux d'abandon diminue lorsque CoFence est déployé

Figure 3 Taux d’abandon des nœuds avec CoFence

La Figure 4 montre une étude de cas dans laquelle cinq nœuds (N1 ~ N5) reçoivent de l’aide partagée de capacité variable. Ils reçoivent chacun différentes quantités de soutien en fonction de leur réputation. N1 est le dernier recevant l’aide, si disponible, tandis que N5 obtient toujours l’aide.

Manière dont CoFence détermine la quantité d'aide offerte

Figure 4 Quantité d’aide pour 5 nœuds et les différentes capacités de chaque aide

Conclusion

Dans cet article nous avons démontré l’un des avantages de l’application de la technologie NFV dans la défense contre les DDoS. La collaboration entre les domaines a le potentiel de fournir des ressources virtuelles presque instantanées à un demandeur. De plus, l’élasticité d’un système virtualisé permet une utilisation plus efficace des ressources, tout en améliorant sa robustesse en matière de réponse rapide aux besoins en ressources informatiques. Par conséquent, cette approche contribue à minimiser l’impact d’une attaque DDoS.