Technologies anti-DDoS : pourquoi OVH doit continuer à investir massivement pour maintenir la protection de ses clients au plus haut niveau

Temps de lecture estimé : 13 minute(s)

Une course contre la montre. Voilà comment il faut se représenter le combat que livre OVH depuis plusieurs années pour protéger ses clients contre les attaques DDoS, dont la fréquence et l’intensité ne cessent de croître. Pour être capable d’absorber les attaques de demain, mais aussi celles d’après-demain dont les proportions sont aujourd’hui encore difficiles à concevoir, il est nécessaire d’investir massivement dans nos technologies de mitigation des DDoS. Explications.

Une journée ordinaire, vue depuis un VAC (le système de protection anti-DDoS d’OVH). En vert, le trafic entrant légitime. En rouge, le trafic illégitime (les attaques DDoS) filtré par nos protections.

Les attaques DDoS, un phénomène inéluctable

L’année 2013 a été marquée par la recrudescence des attaques DDoS, avec des pics jamais atteints jusque-là. Nous avons alors pris conscience du sous-investissement d’OVH, à l’époque, dans les technologies de protection anti-DDoS.

Pour la petite histoire, nous avons découvert un peu plus tard qu’une partie des attaques – celles qui visaient en particulier des clients issus du secteur du jeu en ligne – émanait d’un concurrent peu scrupuleux, qui contactait les victimes une fois l’attaque terminée, pour leur proposer ses services… en vantant sa protection contre les DDoS.

Peu importe : nous l’avons déjà dit, la voie judiciaire ne peut pas être le seul moyen de lutter contre les attaques. Les autorités judiciaires, à travers les unités spécialisées dans la cybercriminalité, sont bien sûr mobilisées pour lutter contre ce phénomène. Mais il faut être réaliste : les enquêtes sont longues et complexes, techniquement, mais aussi en raison du caractère international des réseaux qui mettent à disposition des plus offrants les moyens de perpétrer des attaques de grande envergure.

La bataille se joue d’abord sur le plan technique : les DDoS sont un phénomène consubstantiel à notre activité d’hébergeur. Notre responsabilité est donc de mettre en place les moyens de protection adéquats pour limiter au maximum l’impact des attaques, sans nourrir de faux espoirs sur les vertus dissuasives de ces mesures.

En 2017, nous comptabilisons en moyenne 2 000 attaques par jour, dont une vingtaine de forte puissance (qui se comptent au moins en dizaines de Gbps).

Ce nombre n’a jamais baissé, et vous seriez surpris de connaître la liste des pays qui hébergent le plus grand nombre de bots, ces machines zombies à l’origine des plus grosses attaques DDoS. Un article récent relatait ainsi que si les voies du seigneur sont impénétrables, les ordinateurs, serveurs, téléphones et autres objets connectés depuis le Vatican le sont beaucoup moins, puisque la densité de bots par internaute y est la plus importante au monde. Les téléphones compromis des touristes expliqueraient-ils ce constat ? La preuve qu’en cybersécurité, les miracles n’existent pas.

Mutualiser le coût des protections anti-DDoS pour les offrir à tous

En 2013, nous avons sollicité la contribution de nos clients (via une augmentation d’un à deux euros/mois/service) pour déployer le système VAC, notre protection anti-DDoS le plus rapidement possible, et ainsi rattraper le retard que nous accusions sur ce terrain.

OVH a alors fait un choix original : ne pas proposer ce service sous la forme d’une option payante, comme c’était la pratique la plus répandue. Nous avons « offert » ce service à tous, en l’incluant par défaut à toutes nos offres, pour mieux en mutualiser les coûts.

Octave Klaba déclarait alors : « La question n’est pas de savoir si vous avez besoin de protection anti-DDoS, mais de savoir quand vous serez victime de votre première attaque DDoS. OVH s’engage à vos côtés pour protéger votre projet 24h/24 contre tout type d’attaque DDoS, quelles que soient leur durée et leur taille. »

Il faut savoir que, lors d’une attaque DDoS, en l’absence de protection il y a systématiquement des dégâts collatéraux. Suivant l’intensité de l’attaque, si celle-ci n’est pas mitigée, c’est l’ensemble des voisins de baie du serveur visé dont le service peut-être momentanément rendu indisponible.

Il nous a donc semblé qu’offrir la protection à tous était la meilleure option. D’autant que, si beaucoup d’attaques DDoS ont pour origine des motivations crapuleuses ou futiles, elles peuvent aussi constituer un outil de censure comme l’a montré l’expert américain en sécurité Brian Krebs. La protection contre les attaques DDoS participe donc à la qualité du réseau, et permet de protéger la liberté d’expression à laquelle nous avons toujours été attachés.

Anti-DDoS nouvelle génération et déploiement international

Le déploiement du VAC à partir de 2013 a permis aux clients d’OVH de bénéficier d’une protection d’une qualité inégalée pour l’époque, et toujours en avance aujourd’hui. C’est ce qu’a démontré, en septembre 2016, l’attaque record d’1 Tbps reçue par OVH… et à laquelle nous avons résisté.

Le système VAC se porte très bien, et travaille dans l’ombre pour protéger les clients d’OVH. La plupart du temps, ils ne s’aperçoivent qu’ils ont été la cible d’une attaque uniquement parce que nous leur envoyons un e-mail pour les en informer.

Seulement, vous le savez, OVH s’est entre temps lancé dans un ambitieux plan de développement à l’international, en multipliant l’implantation de nouveaux datacenters en Europe, Asie-Pacifique et Amérique du Nord pour accompagner nos clients partout où ils souhaitent étendre leur marché.

Nous avons donc réfléchi à la meilleure façon de « scaler » cette technologie VAC, qui reposait initialement sur trois modules, respectivement localisés à Roubaix, Strasbourg et Montréal, avant l’ajout d’un quatrième VAC à Gravelines en 2016.

Conscients que la technologie propriétaire déployée en 2013 atteindrait à court terme ses limites de capacité et de scalabilité, nous avons élaboré durant ces deux dernières années notre propre solution anti-DDoS. Celle-ci repose sur différentes couches technologiques : filtrage par FPGA (des puces informatiques reprogrammables avec une capacité de traitement supérieure aux CPU), couplé à des serveurs x86 bénéficiant de l’accélération logicielle 6WIND (une technologie made in France !) et exploitant la librairie open source DPDK, ainsi que la dernière génération de cartes réseau Mellanox 100GbE. Ce sont plus de 100 000 lignes de code (notre logique de mitigation, constamment enrichie) qui tournent aujourd’hui sur ce VAC nouvelle génération, made in OVH.

Pour scaler notre protection anti-DDoS, nous avons d’abord remplacé les quatre premiers VAC 40G par des VAC de nouvelle génération, les VAC 100G, d’une capacité unitaire de 600 Gbps. Puis nous avons commencé à déployer ces « aspirateurs de trafic illégitime », dans les datacenters implantés au sein de nouvelles zones géographiques.

Cette multiplication des VAC a pour objectif de nettoyer les attaques au plus proche de leur source, pour éviter de les « transporter » sur le backbone, et par conséquent de mobiliser inutilement de la bande passante, au risque de saturer certains liens.

Le déploiement du VAC nouvelle génération se poursuit ainsi, au rythme des mises en production de nouveaux datacenters. OVH a actuellement déployé 5 VAC supplémentaires en 2017 : à Singapour, à Sydney, à Varsovie, à Limburg (Francfort) et à Londres. Ceci portant le nombre de VAC à 9, pour une capacité totale de plus de 4 Tbps. Les prochains déploiements sont prévus sur la Côte Est des États-Unis (au sein du futur datacenter de Vint Hill, début octobre), en Espagne et en Italie.

La R&D se poursuit

En parallèle du déploiement international de l’anti-DDoS nouvelle génération, nous poursuivons la R&D. La course contre la montre que nous évoquions en introduction est une course sans fin : l’intensité des attaques va continuer à croître, à mesure que la taille et la capacité du réseau Internet continuent d’augmenter. Et la sophistication des attaques va, elle aussi aller croissante. De la même manière que nous étudions les mécanismes des attaques pour améliorer continuellement nos logiques de mitigation, nous savons parfaitement que les attaquants essayent, de leur côté, de comprendre le fonctionnement de nos protections, pour mieux essayer de les déjouer. Il est donc nécessaire d’avoir toujours une longueur d’avance.

Nos statistiques, sur le mois de septembre 2017, donnent une idée de la typologie des attaques DDoS reçues par OVH :
1- UDP FLOOD (40 %)
2- SYN Flood (30 %)
3- TCP FLOOD (autre que SYN FLOOD) (25 %)
4- GRE (Generic Routing Encapsulation) (3 %)
5- Autres (2 %)

La prédominance des attaques UDP s’explique par leur facilité de mise en œuvre. Néanmoins, nous constatons pour chaque type d’attaque, et pour celles exploitant le protocole TCP en particulier, une augmentation de la complexité des mécanismes utilisés, qui sont de plus en plus complexes. Et nous notons l’apparition de nouvelles méthodologies, notamment celles s’appuyant sur le GRE.
Par ailleurs, nos indicateurs nous renseignent sur la création, rien qu’en septembre 2017, d’une centaine de nouveaux botnets exploitant des objets connectés compromis, le plus actif d’entre eux ayant émis plus de 3 000 attaques au cours du mois, tous hébergeurs confondus… Preuve, s’il en fallait, que la menace est toujours forte, même quand elle ne fait pas la une de l’actualité internationale.

 

Nos utilisateurs eux-mêmes souhaitent que les protections anti-DDoS se perfectionnent. Si le VAC protège tous les clients d’OVH par défaut, il ne s’active que lorsqu’une attaque est détectée. Il filtre alors le trafic illégitime pour maintenir la disponibilité du serveur visé. Certains clients, par exemple dans le secteur de la finance, bénéficient d’une option permettant l’activation permanente du VAC : pour eux, le ralentissement ressenti le temps que l’attaque soit détectée n’est pas acceptable, fut-il de moins de 3 secondes en moyenne.

Nous le savons, cette réactivité va devenir le standard pour un nombre d’utilisateurs de plus en plus grand. Dans le domaine de l’IoT par exemple, lorsque la détection d’un événement doit déclencher une action immédiate.

L’IoT, justement, va d’ailleurs rapidement poser un autre défi : distinguer correctement une attaque DDoS d’un afflux massif de données provenant de capteurs connectés, dont la multiplication dans l’industrie notamment est exponentielle.

Enfin, aujourd’hui, par design, le VAC protège nos clients des attaques externes (qui proviennent de l’extérieur de notre réseau). Concernant les attaques qui trouvent leur origine à l’intérieur du réseau OVH, nous les détectons et agissons à la racine, en isolant du réseau les services incriminés en moins de 30 secondes. C’est efficace, mais nous souhaitons offrir un niveau de protection supérieur, en positionnant plus bas dans le réseau, au plus près du serveur, une protection anti-DDoS supplémentaire, qui permettra de protéger les serveurs des attaques internes avec une plus grande réactivité.

C’est d’ailleurs ce que nous proposons déjà sur les serveurs GAME – dont les besoins spécifiques en termes de protection anti-DDoS constituent un formidable challenge technique, qui pousse notre innovation de la même manière que les avancées de l’industrie aérospatiale profitent bien souvent à tous quelques années après. Pour obtenir ce niveau de protection supplémentaire et le fournir à tous, nous allons nous appuyer sur notre technologie vRouter (un routeur virtuel, fonctionnant sur des serveurs x86, dont nous équipons progressivement nos datacenters). Celui-ci permet de déployer les fonctions de filtrage à haute performance partout dans nos datacentres.

Un POC est actuellement mené à Roubaix, et cette technologie est déjà en fonctionnement sur 20 000 serveurs. De même, nous expérimentons des techniques permettant d’anticiper certains types d’attaques, pour déclencher la protection avant que les premiers paquets n’arrivent sur notre réseau, permettant une mitigation intégrale.

Bref, nous ne voulons pas seulement fournir une protection anti-DDoS efficace, nous voulons offrir la meilleure protection possible. Et, pour en témoigner, nous réfléchissons à intégrer le risque de subir un DDoS dans nos SLA. Autrement dit : nous garantirions contractuellement la disponibilité de vos services, même en cas d’attaque DDoS !

L’augmentation des capacités d’interconnexion : coût caché des protections anti-DDoS

Si le coût du système qui nettoie les attaques (mitigation), c’est-à-dire les intercepte et filtre le trafic illégitime sans impact sur le trafic légitime, est conséquent, il existe un coût caché à ces protections. Il s’agit de la nécessité d’augmenter nos capacités d’interconnexion (peering) avec les différents FAI, partout dans le monde, pour éviter la saturation sur les liens entre les sources des DDoS (qui, comme leur nom l’indique, sont des attaques distribuées) et nos différents VAC. Et ces peerings sont de plus en plus souvent payants.

OVH a besoin d’une forte capacité excédentaire, dans le but d’absorber les pics d’attaques de grande intensité saturer ses routes. Car il ne suffit pas de savoir traiter les attaques, il faut avant tout être capable de les recevoir. Ainsi, sur les 12 Tbps de capacité du réseau d’OVH… nous n’en utilisons réellement, en moyenne, que 3,5 Tbps.

Vous le comprenez donc, les investissements nécessaires pour lutter contre les attaques DDoS sont, en partie, décorrélés du rythme de croissance d’OVH. La montée en puissance des attaques nous contraint à accélérer la dépense plus vite que ne croît le parc de serveurs d’OVH.

Plus que jamais, la sécurité des infrastructures informatiques est au cœur des préoccupations des entreprises. Les cybermenaces, des rançongiciels aux attaques DDoS, ont régulièrement fait la une des médias ces derniers mois, accélérant sans doute la prise de conscience quant à l’ampleur de ces phénomènes. Si certains types de menaces sont difficiles à éradiquer, ce pourquoi les assureurs considèrent d’ailleurs les cyberattaques comme un marché à haut potentiel, la problématique des attaques par déni de service distribué est aujourd’hui plutôt bien maîtrisée. À condition de s’appuyer sur un cloud provider qui place ce sujet en tête de ses priorités, et s’en donne les moyens. Ce qu’OVH a décidé de faire en sollicitant la contribution exceptionnelle de ses clients, via une augmentation de prix comprise entre 1 et 10 € HT/mois pour les VPS, instances Public Cloud et serveurs dédiés (sauf serveurs Game). Cette augmentation sera effective fin octobre sur les sites web d’OVH pour les nouvelles commandes de serveurs dédiés et VPS, et début décembre pour l’offre Public Cloud. Les clients existants, détenteurs de services concernés par l’augmentation, seront notifiés personnellement par e-mail, pour une mise en application des nouveaux tarifs au 1er décembre. S’ils ont opté pour un engagement de 3, 6 ou 12 mois, l’augmentation entrera en vigueur au prochain renouvellement de leurs services.

Copywriter at OVH.