¨ Dépannage-Maintenance-Formation-Informatique fleche-depannage-formation informatique-paris-aiservice  Astuce info fleche-depannage-formation informatique-paris-aiservice  , Service CDN Cloud Flare

5 Mars 2013 - Dépannge et formation informatique Paris

Service CDN Cloud Flare : l’accès à 785 000 sites affecté le 3 mars par une « erreur technique »


Auteur : Frédéric Hourdeau   Catégorie : Articles    Thème : Sécurité


Bannière de présentation du service CloudFlare - Dépannage, installation et formation informatique Paris 9ème 75009

 

Le service CDN CloudFlare a dû fermer pendant près d'une heure, rendant indisponibles près de 785 000 sites dont le site de divulgation de documents Wikileaks et le forum  4chan. L'éditeur invoque un problème au niveau de ses routeurs, qui auraient été mis hors d'usage.


Rappelons qu’ un « Content Delivery Network » (CDN) est constitué d’ordinateurs reliés en réseau à travers Internet et qui coopèrent afin de mettre à disposition du contenu ou des données (généralement du contenu multimédia volumineux) à des utilisateurs.


Schémat de présentation du service CDN (Content Delivery Network) - Dépannage, installation et formation informatique Paris 9ème 75009

Avec le service CDN, les contenus sont envoyés par des serveurs de proximités rendant une lecture plus fluide et évite des saturations de serveur



En d'autres termes, un CDN est destiné à délivrer du contenu statique de manière optimisée à des utilisateurs : par rapport à un site, le CDN prend le relais pour délivrer les contenus statiques à ses visiteurs; ce n'est donc plus le serveur qui supportera cette charge.

Pour aller plus loin : on lira l’article particulièrement clair publié par Vincent Maurin  en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services au sein d'Orange Business Services


 http://www.orange-business.com/fr/blogs/securite


Voir par ailleurs :

Définition d'un serveur HTTP: http://fr.wikipedia.org/wiki/Serveur_HTTP

Définition d'un réseau CDN : http://fr.wikipedia.org/wiki/Content_Delivery_Network

Définition d'une attaque DDoS : http://fr.wikipedia.org/wiki/Ddos


Ainsi, censé répartir la charge, le service de diffusion de contenus CloudFlare se place entre les internautes et le site web. Toute requête HTTP destinée à ce site passe d'abord par les serveurs CloudFlare qui l'analysent et éventuellement la bloquent.


Schémat de présentation de la protection apporté par CloudFlare - Dépannage, installation et formation informatique Paris 9ème 75009


Le service assuré par CloudFlare est large  mais aussi gratuit. Aussi un quart des internautes passent sans le savoir par CloudFlare (Korben, PC-Inpact, Zataz...).


Si CloudFlare s'écroule ce sont des centaines de milliers de sites qui peuvent devenir tout à coup inaccessibles. Le risque local et isolé qu'un site s'écroule est remplacé par un risque global, CloudFlare devenant d’ailleurs  une cible de plus en plus intéressante à mesure qu'elle grossit. C’est le risque de la centralisation et des « convoitises » qu’elle est susceptible de susciter par ailleurs !

Donc Cloudflare, comme les autres CDN, s'intercale entre le site Web et le reste d'Internet, pour le dupliquer dans des centres de données répartis dans le monde. Le site est ainsi disponible au plus proche des internautes, tout en économisant sur la consommation de bande passante. Quand ce maillon faible est tombé, ces sites ont perdu leur principale connexion au reste d'Internet. La charge habituellement gérée par Cloudflare a été reportée directement sur les sites, certains étant devenus inaccessibles car surchargés.


Défaillance technique ? Malveillance ?

La dépendance des sites Internet à certains fournisseurs de services est à nouveau posée.

Dans un communiqué Cloudflare explique que « l'ensemble de ses services a été mis hors ligne par une défaillance des routeurs en bordure du réseau ». Cela signifie le matériel chargé de gérer la connexion entre le réseau Cloudflare et le reste d'Internet est tombé. Normalement quand un routeur est en panne, les autres prennent automatiquement en charge le trafic qu'il était censé géré.


Dans ce cas précis, tous ont été mis hors d'usage en même temps :

Représentation des routeurs CDN - Dépannage, installation et formation informatique Paris 9ème 75009

Ainsi le service a détecté une attaque par déni de service (multiplication  des connexions pour saturer et mettre hors ligne un site) sur l'un de ses clients. Un responsable de la sécurité a commandé aux routeurs en question de bloquer tous les paquets correspondant à la taille, inhabituelle, utilisée pour attaquer le site. Cette règle spécifique a causé, pour une raison encore inconnue, un remplissage complet de la mémoire des routeurs, jusqu'à leur arrêt. La plupart des routeurs n'ont, par ailleurs, pas redémarré automatiquement, comme ils auraient dû le faire. Les autres sont rapidement retombés en panne, sous le poids des requêtes à gérer.


Cela ressemble un peu à la fois (tous éléments de comparaison gardés) à un réseau de distribution d’électricité HT qui « s’écroule peu à peu  comme un jeu de carte » ou à des groupes électrogènes censés prendre le relai d’une alimentation défaillante et qui ne démarrent pas ! On a pu mesurer dans le passé les conséquences dramatiques que cela pouvait entrainer en particulier  lorsque il s’agit par exemple d’ hôpitaux ! Nous en sommes pas là….mais !

Au bout d'une heure, le trafic a pu reprendre son cours normal.


Cloudflare indique qu'il continue à examiner en détails les motifs qui ont causé cette panne. Il a par ailleurs précise que certains routeurs  Juniper en bordure du réseau ont connu une défaillance majeure. La plupart d'entre eux n'ont pas redémarré de manière automatique alors que les autres croulaient  sous le nombre de requêtes. Enquête en cours…

On notera que l'entreprise se targue de proposer à bas prix les capacités de CDN et d'outils de protection contre les attaques services  qui sont habituellement proposés habituellement à des prix bien plus élevés. Par ailleurs, le service  a déjà été  sujet à des pannes importantes :"En quatre ans d'activité, il s'agit de notre troisième panne d'envergure »  a reconnu la Direction. Un peu inquiétant !

Les bas prix au détriment de la qualité ?


barre-dépannage et formation informatique Paris


Voir nos News : 


Evernote se dit attaqué par des pirates - 03/03/2013

Sécurité informatique : Les mots de passes vandalisées. Des négligences à éviter ; des précautions à prendre. - 02/03/2013

Facebook infecté, Apple infecté, maintenant au tour de Microsoft! - 23/02/2013

Apple toujours aussi insensible aux virus et aux logiciels malveillants ? - 21/02/2013

Google met en garde contre l'augmentation des tentatives de détournements de compte - 19/02/2013



Voir nos Artricles : 


Le Wi-Fi en entreprise. Sécuriser ses données - 10/02/2013

Cyber attaques via les mobiles - 02/02/2013



Voir nos Astuces : 


Publicité sur Internet : Comment ne plus être « espionné - 01/03/2013

La sécurité et vous - 12/09/2012

Compte mail piraté? que faire ? - 11/09/2012