Attaques DDoS: Quel bilan pour 2016 ?

Publié le 21 Décembre 2016
L’année qui se termine aura vu une croissance importante des attaques DDoS sur le plan mondial et l’émergence de nouveaux vecteurs d’attaques au côté de méthodes déjà éprouvées.
Radware partage son bilan et quelques prévisions pour 2017.

2016 aura été une année riche en événements concernant les attaques par déni de service (DDoS). De nombreux secteurs ont subi des attaques d’une ampleur inédite et constaté l’émergence de nouveaux vecteurs d’attaque conçus pour mettre à l’épreuve les mécanismes de défense les plus évolués. Chaque année, l’équipe ERT de Radware voit passer de nombreuses attaques que les chercheurs ERT analysent pour en dégager des tendances et comprendre les évolutions du paysage de la cybercriminalité.

Deux des tendances les plus fréquentes cette année sont les attaques en rafales (hit and run) et les campagnes de menaces persistantes et avancées par déni de service, ApDoS. Nous avons pu observer des cas d’attaques volumétriques par petites rafales à intervalles aléatoires et des attaques ayant duré des semaines, impliquant plusieurs vecteurs ciblant toutes les couches du réseau simultanément. Ces types d’attaques ont tendance à provoquer des perturbations qui peuvent empêcher des utilisateurs d’accéder aux services.

Les hackers développent également de nouveaux vecteurs et des méthodes originales. Cette année, nous avons constaté l’explosion de l’utilisation des dispositifs IoT pour créer des botnets puissants et un certain nombre de nouveaux vecteurs d’attaques comme BlackNurse, une attaque ICMP. Un utilisateur du HackForum a publié le code source du botnet Mirai. Ce botnet a utilisé plus de 60 identifiants d’usine par défaut trouvés sur des dispositifs IoT basés sur BusyBox et créé le botnet le plus puissant recensé à ce jour. L’une des caractéristiques les plus intéressantes derrière Mirai est le vecteur d’attaque GRE (Generic routing encapsulation). Cette méthode relativement nouvelle encapsule des paquets comportant de gros volumes de données avec l’intention d’épuiser les ressources au moment où le réseau de destination va désencapsuler.

Top 5 des vecteurs DDoS établi par l’équipe ERT

La plus belle progression : Attaque HTTP/s
Cette année, l’équipe ERT de Radware a recensé plus de 385 000 attaques volumétriques HTTP flood, lancées contre nos clients. Les hackers se servent de cette méthode d’attaque pour attaquer les serveurs web et les applications. Des lots de requêtes HTTP GET ou POST apparemment légitimes sont envoyés lors d’une session à un serveur web cible. De telles requêtes sont généralement envoyées en masse via un botnet pour accroître la puissance d’attaque globale, mais des attaques utilisant des variantes de l’outil DoS HULK ont également été observées. HULK est un simple outil d’attaque volumétrique qui envoie une requête HTTP unique pour chaque requête adressée. Ce faisant, il permet à l’attaque de contourner la mise en cache et de frapper le serveur directement.

La plus familière : Attaque DNS
Une attaque de DNS est une variante d’une attaque UDP spécifique à une application. Comme les serveurs DNS utilisent le trafic UDP pour la résolution de nom, l’envoi d’un nombre massif de requêtes DNS à un serveur DNS peut consommer ses ressources, ce qui se traduit par une dégradation du service et un ralentissement du temps de réponse aux requêtes légitimes. Les attaques d’amplification DNS sont des attaques par déni de service sophistiquées qui se servent du comportement des serveurs DNS pour amplifier l’intensité des attaques. Les assaillants envoient de très nombreuses requêtes DNS courtes à plusieurs serveurs DNS qui envoient une liste entière d’enregistrements DNS à la victime. Un effet d’amplification est obtenu car chaque requête DNS courte adressée entraîne l’envoi par le serveur DNS d’une réponse de plus grosse importance à la victime. Notre équipe ERT a recensé cette année plus de 130 000 attaques de DNS ciblant des enregistrements AAAA, dont 48 émanant du botnet Mirai.

La plus fréquente : Attaque TCP
Les attaques TCP sont l’une des attaques par déni de service les plus anciennes mais aussi très populaires. La forme la plus fréquente d’une attaque TCP consiste à envoyer de nombreux paquets SYN au serveur d’une victime. L’intention de cette attaque est de submerger la table de session du serveur ciblé en abusant de la procédure en trois étapes (3 way handshake) d’établissement de la connexion. Les serveurs doivent ouvrir un état pour chaque paquet qui arrive et les agresseurs s’efforcent de noyer ces tables sous l’effet du trafic des attaques pour que le serveur ne puisse pas traiter le trafic légitime. Cette année, l’équipe ERT de Radware a recensé des attaques TCP comme TCP-SYN, 25,081, FIN-ACK, 17,264 et SYN-ACK, 14,758. Nous avons aussi détecté une méthode appelée TCP STOMP émanant de Mirai. C’est une attaque volumétrique ACK classique mais que Mirai n’amorce qu’après avoir obtenu un numéro de séquence légitime ce qui augmente ses chances de contourner les solutions de sécurité.

La moins forte progression : Attaque UDP
Une attaque volumétrique UDP vise à noyer un réseau. C’est l’une des plus fréquentes encore utilisées aujourd’hui. Les cybercriminels envoient des paquets UDP à une destination unique ou à des ports choisis aléatoirement. Dans la plupart des cas, ils usurpent l’IP source car le protocole UDP est sans connexion et qu’il est dépourvu de mécanisme d’établissement de connexion ou de session. L’intention d’une attaque UDP est de saturer la liaison Internet avec des attaques volumétriques. Pour faire simple, les attaques UDP abusent suffisamment le comportement normal pour causer de la congestion et une dégradation de service des réseaux ciblés. Cette année, l’équipe ERT de Radware a recensé plus d’un demi-million d’attaques IPv4, 93 538 attaques UDP fragmentées et 816 attaques IPv6. Nous avons aussi observé 2 395 attaques UDP émanant de Mirai.

La plus novatrice : Attaque GRE
Cette année, nous avons assisté à l’émergence d’un nouveau botnet puissant avec un vecteur d’attaque utilisant le protocole GRE (Generic routing encapsulation). Les paquets de données sont encapsulés et ils empruntent le tunnel jusqu’au réseau de destination où les paquets sont désencapsulés. L’envoi de nombreux paquets GRE et de gros volumes de données encapsulées obligera la victime à consommer beaucoup de ressources pour désencapsuler les paquets jusqu’à épuisement. Après la publication de Mirai, un de nos clients a signalé une attaque GRE fluctuant entre 70 et 180 Gbit/s. La protection de Radware contre les attaques DDoS a permis d’atténuer les effets de cette attaque procédant au moyen de paquets UDP encapsulés contenant 512 octets de données aléatoires.

A prévoir en 2017
En 2017, l’équipe des chercheurs ERT de Radware s’attend à ce que le paysage des attaques par déni de service continue d’évoluer rapidement avec des attaques 1 tbit/s devenant le nouveau standard. Les cybercriminels vont profiter de l’intensification des déploiements IoT tout au long de l’année et s’attaquer à ces dispositifs insuffisamment sécurisés qu’ils utiliseront en association avec d’autres botnets, comme Bashlite, pour perpétrer des attaques d’une ampleur record.
Contactez cette société ou un revendeur de ces produits.
Les 10 derniers articles
Les 10 derniers articles
SQ 250-300
Services
Ingram
Top 10Top 10 du jourTop 10 de la semaineTop 10 du mois
 La vidéo du moment
FlashITRmobilesITRgamesITchannel
Commentaires