27 août 2021

Record d’attaque de Déni de Service applicatif

Les Jeux Olympiques se sont terminés au début du mois, et avec eux leurs lots de records sportifs habituels et tant attendus.

Mais l’été continue (sauf à Paris, il semblerait) et un autre type de record nous attend : Cloudflare a révélé la semaine dernière avoir absorbé une attaque de déni de service applicatif d’une ampleur colossale de 17.2 millions de requêtes par seconde (rps) remportant ainsi la médaille d’or du DDoS !

On aurait préféré en rester au record de mauvais temps en août !

Les catégories de Déni de Service

Pour rappel, les dénis de service sont catégorisés en trois types d’attaques, selon l’élément ciblé de la victime :

  • Les attaques volumétriques, qui visent à remplir la bande passante de la victime avec des données inutiles ;
  • Les attaques protocolaires, qui cherchent à épuiser les ressources de traitements réseau de la cible (couche 4 OSI) ;
  • Les attaques applicatives, qui ciblent un protocole applicatif précis pour s’accaparer les ressources de calcul de la victime (couche 7 OSI).

Ce dernier type d’attaque est souvent plus complexe à mettre en place qu’une attaque protocolaire ou volumétrique, mais possède l’avantage d’être plus difficile à distinguer d’un utilisateur légitime que les deux autres.

Analyse d’un record

L’attaque, qui a été identifiée et traitée automatiquement par le système de protection DDoS de Cloudflare, est presque trois fois plus importante que les attaques HTTP précédemment enregistrées.

L’entreprise met en exergue la proportion impressionnante de cette attaque par rapport aux 25 millions de requêtes HTTP usuelles qui traverse son réseau chaque seconde : en culminant à 17,2 millions de requête par seconde, l’attaque représente 68% de son trafic légitime (en moyenne sur le deuxième trimestre de 2021).

L’assaut, dirigé en juillet contre une organisation du secteur financier, a maintenu une puissance constante autour de 15 millions rps pendant environ 15 secondes, résultant en 330 millions de requêtes envoyées en moins d’une minute.

Figure 1 : L’attaque enregistrée par Cloudflare

L’attaque provenait de plus de 20 000 bots dans 125 pays du monde entier. La plupart des adresses IP à l’origine du trafic se trouvaient en Indonésie, en Inde et au Brésil.

Mirai : le “futur” sera-t-il toujours présent ?

Cloudflare était témoin de l’activité de ce puissant botnet plusieurs semaines avant cette attaque, et bien que celui-ci ne soit apparemment pas basé sur Mirai, son essor s’inscrit dans une recrudescence d’attaques de déni de service lancées depuis des variantes de Mirai.

Le mois dernier, l’entreprise a en effet observé une augmentation des attaques Mirai protocolaires (couches 3 et 4) de 88% et applicatives (couche 7) de 9%, et prévoit pour le mois d’août une augmentation de 185% pour la couche 7 et de de 71% pour les couches 3/4.

Lors d’une de ces attaques récentes, un botnet Mirai d’environ 30 000 bots a généré plusieurs pics d’intensité supérieure à 1 Tbps.

Conclusion

Cette nouvelle avancée technique des pirates informatiques nous rappelle que le déni de service évolue constamment. Saluons la performance de Cloudflare, dont le système de protection a automatiquement pallié une attaque représentant plus de la moitié du trafic habituel de son infrastructure.

Et si vous vous demandez comment votre propre infrastructure supporterait un déni de service, contactez-nous ! Nous proposons une prestation de simulation et d’analyse de ces attaques.

27 août 2021 CERT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *