Aller au contenu principal

1. Introduction

Une résurgence d'attaques par déni de service [1] visant diverses cibles sur Internet a produit de nouveaux défis au sein des communautés des fournisseurs de services Internet (ISP) et de la sécurité réseau pour trouver des méthodes nouvelles et innovantes pour atténuer ces types d'attaques. Les difficultés pour atteindre cet objectif sont nombreuses ; certains outils simples existent déjà pour limiter l'efficacité et la portée de ces attaques, mais ils n'ont pas été largement implémentés.

Cette méthode d'attaque est connue depuis un certain temps. La défense contre celle-ci, cependant, a été une préoccupation continue. Bill Cheswick est cité dans [2] comme disant qu'il a retiré un chapitre de son livre, "Firewalls and Internet Security" [3], à la dernière minute parce qu'il n'y avait aucun moyen pour un administrateur du système attaqué de défendre efficacement le système. En mentionnant la méthode, il craignait d'encourager son utilisation.

Bien que la méthode de filtrage discutée dans ce document ne fasse absolument rien pour protéger contre les attaques par inondation qui proviennent de préfixes valides (adresses IP), elle empêchera un attaquant au sein du réseau d'origine de lancer une attaque de cette nature utilisant des adresses source falsifiées qui ne sont pas conformes aux règles de filtrage d'entrée. Tous les fournisseurs de connectivité Internet sont instamment priés d'implémenter le filtrage décrit dans ce document pour empêcher les attaquants d'utiliser des adresses source falsifiées qui ne résident pas dans une plage de préfixes légitimement annoncés. En d'autres termes, si un ISP agrège des annonces de routage pour plusieurs réseaux en aval, un filtrage de trafic strict devrait être utilisé pour empêcher le trafic qui prétend provenir de l'extérieur de ces annonces agrégées.

Un avantage supplémentaire de l'implémentation de ce type de filtrage est qu'il permet de tracer facilement l'origine vers sa véritable source, puisque l'attaquant devrait utiliser une adresse source valide et légitimement atteignable.

Dernière mise à jour le