{"id":13404,"date":"2025-09-29T10:28:26","date_gmt":"2025-09-29T07:28:26","guid":{"rendered":"https:\/\/vasexperts.com\/?p=13404"},"modified":"2025-10-02T16:22:49","modified_gmt":"2025-10-02T13:22:49","slug":"syn-flood-attack-areas-of-responsibility-and-practical-protection-provider-client","status":"publish","type":"post","link":"https:\/\/vasexperts.com\/fr\/blog\/security\/syn-flood-attack-areas-of-responsibility-and-practical-protection-provider-client\/","title":{"rendered":"Attaque SYN Flood : R\u00e9partition des responsabilit\u00e9s et protection pratique \u2013 Op\u00e9rateur + Client"},"content":{"rendered":"La discussion sur la protection contre le SYN Flood ne peut pas \u00eatre unilat\u00e9rale. D\u2019un c\u00f4t\u00e9, il y a l\u2019h\u00f4te avec son noyau Linux, ses param\u00e8tres sysctl et iptables ; de l\u2019autre \u2013 le backbone de l\u2019op\u00e9rateur, le BGP, les liaisons haut d\u00e9bit et les centres de scrubbing (\u00ab nettoyage \u00bb). Si l\u2019on consid\u00e8re le probl\u00e8me uniquement \u00ab sur le serveur \u00bb ou uniquement \u00ab dans le r\u00e9seau \u00bb, on n\u2019atteindra pas le niveau de r\u00e9silience souhait\u00e9. Dans cet article, nous conserverons la densit\u00e9 technique tout en expliquant pourquoi et quelles actions rel\u00e8vent de l\u2019op\u00e9rateur, et lesquelles rel\u00e8vent de l\u2019administrateur du serveur.\r\n\r\n

Qui est responsable de la protection : R\u00e9partition des responsabilit\u00e9s et pourquoi l\u2019approche unilat\u00e9rale ne fonctionne pas<\/h2>\r\nIl semble parfois logique de se reposer uniquement sur les param\u00e8tres du syst\u00e8me d\u2019exploitation : activer les SYN Cookies, augmenter la file d\u2019attente (backlog), ajouter quelques r\u00e8gles iptables \u2013 et tout ira bien. Cela fonctionne contre les attaques mineures et \u00ab locales \u00bb. Mais dans les sc\u00e9narios r\u00e9els et modernes, les attaques se mesurent en dizaines et centaines de gigabits par seconde. Ce n\u2019est plus alors un probl\u00e8me de serveur individuel, mais un probl\u00e8me de la liaison et de l\u2019infrastructure de l\u2019op\u00e9rateur.\r\n\r\nLorsque le flux d\u2019attaque atteint 100+ Gbit\/s, aucun param\u00e8tre sysctl ou iptables sur le serveur ne pourra aider<\/strong> \u2013 la liaison du client sera satur\u00e9e avant m\u00eame que les paquets n\u2019atteignent l\u2019h\u00f4te. Par cons\u00e9quent, la responsabilit\u00e9 est naturellement partag\u00e9e : l\u2019op\u00e9rateur est responsable du backbone, du routage, de la pr\u00e9vention de l\u2019usurpation (spoofing) et du filtrage du trafic malveillant aux fronti\u00e8res externes du r\u00e9seau ; le client (administrateur du serveur) \u2013 de la r\u00e9silience locale du service, des param\u00e8tres corrects de la pile TCP\/IP et de la d\u00e9tection primaire de l\u2019incident. Une protection efficace est une cha\u00eene de mesures coordonn\u00e9es : de la validation des adresses sources dans le r\u00e9seau de l\u2019op\u00e9rateur aux filtres ponctuels dans le syst\u00e8me d\u2019exploitation du serveur.\r\n\r\n

Qu\u2019est-ce qu\u2019une attaque SYN Flood (Analyse technique)<\/h2>\r\nTCP \u00e9tablit une connexion en trois \u00e9tapes : le client envoie un SYN, le serveur r\u00e9pond par un SYN-ACK, le client confirme par un ACK. Dans un SYN Flood, l\u2019attaquant g\u00e9n\u00e8re un nombre \u00e9norme de paquets SYN et ne compl\u00e8te pas le handshake (poign\u00e9e de mains), ce qui am\u00e8ne le serveur \u00e0 accumuler des connexions \u00ab semi-ouvertes \u00bb dans des files d\u2019attente (SYN backlog) et \u00e0 consommer de la m\u00e9moire et des ressources processeur pour les g\u00e9rer. Les effets n\u00e9gatifs se manifestent par une augmentation de la latence, une baisse de la disponibilit\u00e9 des ports (g\u00e9n\u00e9ralement 80\/443) et, dans les cas critiques, une indisponibilit\u00e9 totale du service.\r\n\r\nLes attaques sont vari\u00e9es : directes (flux depuis de vraies adresses IP), avec adresses usurp\u00e9es (IP-spoofing, attaques r\u00e9fl\u00e9chies\/DRDoS), massives sur des plages enti\u00e8res ou ciblant des services sp\u00e9cifiques. Les sc\u00e9narios r\u00e9fl\u00e9chis sont particuli\u00e8rement dangereux : le malfaiteur usurpe l\u2019adresse IP source de la victime, et des milliers\/centaines de milliers de serveurs tiers envoient leurs r\u00e9ponses vers la victime \u2013 au final, la charge est multipli\u00e9e et d\u00e9passe les capacit\u00e9s d\u2019un seul h\u00f4te.\r\n\r\n

Pourquoi les m\u00e9thodes classiques sur le serveur sont parfois inutiles (Cas de figure 100+ Gbit\/s)<\/h2>\r\nLes moyens locaux (SYN Cookies, augmentation de tcp_max_syn_backlog, limites iptables) sont efficaces sous une charge mod\u00e9r\u00e9e, lorsque l\u2019attaque se situe dans les limites de la liaison du client. Mais si l\u2019attaque d\u00e9passe la capacit\u00e9 de la liaison externe, le trafic \u00ab exc\u00e9dentaire \u00bb est coup\u00e9 au niveau de la liaison montante (uplink). Seule la partie des paquets qui tient dans la liaison arrive dans le r\u00e9seau de l\u2019op\u00e9rateur. C\u2019est pr\u00e9cis\u00e9ment pourquoi le r\u00f4le de l\u2019op\u00e9rateur est crucial : il doit soit absorber\/filtrer le trafic malveillant d\u00e8s le backbone, soit rediriger le flux vers un centre de scrubbing (n\u0153ud sp\u00e9cialis\u00e9 dans le nettoyage du trafic DDoS) \u2013 sinon le serveur restera injoignable, quel que soit le niveau de sa configuration locale.\r\n\r\n

Comment l\u2019op\u00e9rateur d\u00e9tecte les anomalies et quels sont ses outils<\/h2>\r\n

Fondement : Pr\u00e9vention de l\u2019usurpage d\u2019IP<\/h3>\r\nLa premi\u00e8re r\u00e8gle pour lutter contre les attaques r\u00e9fl\u00e9chies est de ne pas laisser sortir du r\u00e9seau des paquets avec des adresses source \u00ab \u00e9trang\u00e8res \u00bb. La mise en \u0153uvre du BCP 38 \/ RFC 2827 (Validation des Adresses Source) consiste \u00e0 interdire les paquets sortants (egress) dont l\u2019adresse IP source n\u2019appartient pas au r\u00e9seau de l\u2019abonn\u00e9. En pratique : des ACL sur les routeurs de bordure et des filtres en p\u00e9riph\u00e9rie. Ce n\u2019est pas une panac\u00e9e, mais cela bloque la composante la plus dangereuse des DRDoS (Attaque par D\u00e9ni de Service R\u00e9fl\u00e9chie et Distribu\u00e9e).\r\n\r\n

Surveillance bas\u00e9e sur les flux (Flow-based monitoring)<\/h3>\r\nLa d\u00e9tection par l\u2019op\u00e9rateur repose sur l\u2019analyse des flux : NetFlow, sFlow, IPFIX donnent une image du ratio SYN\/ACK, des pics de trafic vers des adresses et ports sp\u00e9cifiques, ainsi que de l\u2019asym\u00e9trie du trafic. Les solutions d\u2019InMon, SolarWinds ou des pipelines personnalis\u00e9s sur ELK\/ClickHouse permettent de r\u00e9aliser des analyses r\u00e9trospectives et de d\u00e9tecter des anomalies avant que les clients ne commencent \u00e0 se plaindre.\r\n\r\nOutre la surveillance des flux, d\u2019autres t\u00e9l\u00e9m\u00e9tries sont utiles : le BGP Monitoring Protocol (BMP) aide \u00e0 contr\u00f4ler la stabilit\u00e9 des routes et \u00e0 d\u00e9tecter des anomalies dans les sessions BGP, le SNMP fournit des m\u00e9triques de charge des interfaces \u2013 une augmentation soudaine du trafic entrant sur le port d\u2019un client est souvent un indicateur primaire d\u2019une attaque.\r\n\r\n

M\u00e9thodes de filtrage et d\u2019att\u00e9nuation (Mitigation)<\/h3>\r\nL\u2019op\u00e9rateur utilise des outils de diff\u00e9rents \u00ab calibres \u00bb \u2013 des plus rapides et radicaux aux plus pr\u00e9cis et intelligents :\r\n
    \r\n \t
  • RTBH (Remote Triggered Black Hole)<\/strong> \u2013 la m\u00e9thode la plus simple et la plus rapide : via BGP, le marquage d\u2019un pr\u00e9fixe entra\u00eene le rejet de tout le trafic qui lui est destin\u00e9. Cela sauvegarde l\u2019infrastructure, mais \u00ab tue \u00bb compl\u00e8tement le service du client.<\/li>\r\n \t
  • BGP Flowspec<\/strong> \u2013 un outil d\u2019une grande pr\u00e9cision chirurgicale : via Flowspec, des r\u00e8gles sont diffus\u00e9es pour cr\u00e9er des ACL sur les \u00e9quipements r\u00e9seau et permettre de rejeter des paquets TCP sp\u00e9cifiques (par exemple, les SYN vers IP:port). Avantage \u2013 la pr\u00e9cision et l\u2019impact minimal sur le trafic l\u00e9gitime ; inconv\u00e9nient \u2013 n\u00e9cessite le support des \u00e9quipements et une grande prudence dans la d\u00e9finition des r\u00e8gles.<\/li>\r\n \t
  • Centres de Scrubbing<\/strong> \u2014 c\u2019est \u00ab l\u2019artillerie lourde \u00bb dans la lutte contre les DDoS. Le trafic du client est redirig\u00e9 (via BGP ou DNS) vers un centre de nettoyage, o\u00f9 des syst\u00e8mes sp\u00e9cialis\u00e9s analysent le flux, rejettent le trafic malveillant et renvoient au client des donn\u00e9es \u00ab propres \u00bb via des tunnels (GRE ou VxLAN). Ces centres peuvent \u00eatre des solutions on-premise int\u00e9gr\u00e9es (par exemple, Arbor TMS, Juniper DDoS Guard) ou des services cloud externes. Il s\u2019agit g\u00e9n\u00e9ralement d\u2019un service payant suppl\u00e9mentaire, accessible aux clients pour lesquels les interruptions sont critiques.<\/li>\r\n<\/ul>\r\n