3,8 Tbps et 2,14 milliards de paquets par seconde : nouveau record pour une attaque DDoS
Lorem ipsum dolor sit packet, consectetur adipiscing terabits
Cloudflare a détaillé mercredi les modalités d’une attaque par déni de service distribué (DDoS) ayant entraîné des pics de trafic allant jusqu’à 3,8 Tb/s et 2,14 milliards de paquets par seconde.
Le 03 octobre à 11h00
5 min
Sécurité
Sécurité
« Tous les records ne font pas forcément plaisir à battre », a plaisanté Matthew Prince, CEO de Cloudflare, sur X. Son entreprise a publié mercredi un billet en forme de retour d’expérience sur une attaque par déni de service qu’elle qualifie de « record ». L’opération visait selon Cloudflare un client hébergeur servant de nombreuses entreprises, dont l’identité n’est pas précisée. Elle aurait été intégralement « atténuée » par l’infrastructure et les défenses de Cloudflare, sans conséquence donc pour les utilisateurs finaux.
Rappelons en premier lieu la finalité d’une attaque par déni de service (DDoS, pour distributed denial of service) : l’attaquant cherche à submerger un système informatique de requêtes ou de données, de façon à en paralyser le fonctionnement. Pour ce faire, il exploite généralement un réseau de machines infectées (un botnet, d’où l’aspect distribué). Les techniques varient ensuite selon que l’attaquant cherche à saturer les liaisons réseau, les processeurs nécessaires aux calculs de routage, la mémoire vive, etc.
Inondation sur les couches 3 et 4
Dans le cas de cette attaque, Cloudflare dit avoir observé un trafic émanant principalement du Vietnam, de la Russie, du Brésil, de l’Espagne et des États-Unis, avec des requêtes transmises via le protocole UDP sur un port fixe. L’éditeur ne précise pas le volume de machines attaquantes. Il affirme cependant que figuraient dans le lot des appareils MikroTik (fabricant réseau letton), des serveurs Web, ainsi que des enregistreurs vidéo personnels et des routeurs Asus grand public.
Ce réseau aurait lancé plus d’une centaine d’attaques sur un mois, dont plusieurs dépassaient les 2 milliards de paquets par seconde et les 3 Tb/s de bande passante, avec un pic à 2,14 milliards de paquets et 3,8 Tb/s pendant plus de 60 secondes en continu. « Soit la plus grande attaque jamais divulguée publiquement par une organisation », assure la société, coutumière des déclarations relatives à ce genre de « records ».
Plus que la bande passante, ici exprimée en térabits par seconde, c’est surtout le volume de paquets qui revêt ici une dimension exceptionnelle, illustrant une tendance à laquelle sensibilisaient déjà les équipes DDoS d’OVHcloud en juillet dernier : les attaques par débit de paquets. Celles-ci ne cherchent pas à saturer les tuyaux (en utilisant par exemple des techniques telles que l’amplification DNS), mais les CPU chargés d’analyser les paquets entrants.
La force de ces attaques ne réside donc plus dans le volume (la bande passante), mais dans le nombre de paquets. « En bref, une attaque DDoS de 10 Gb/s avec de gros paquets (1 480 octets) produit environ 0,85 million de paquets par seconde (Mpps) : en comparaison, 10 Gb/s avec les plus petits paquets (84 octets sur le fil pour Ethernet) produit un énorme flux de 14,88 Mpps environ », résumaient alors les ingénieurs d’OVHcloud.
La technique en tant que tel n’a rien d’inédit. Mais OVHcloud comme Cloudflare remarquent qu’elle est de plus en plus fréquente, ce qui implique, pour tous les spécialistes de la lutte anti-DDoS, la mise en place de défenses adaptées. « Pour vous défendre contre les attaques à haut débit de paquets, vous devez être en mesure d'inspecter et d'éliminer les mauvais paquets en utilisant aussi peu de cycles CPU que possible, tout en laissant suffisamment de ressources processeur pour traiter les paquets adéquats », résume à ce sujet Cloudflare.
Des attaques toujours plus complexes
Dans son rapport annuel sur la sécurité, analysé par Next en août dernier, Akamai soulignait déjà la propension grandissante des auteurs d’attaques DDoS à multiplier les canaux pour augmenter l’efficacité de leurs opérations. Aux flux ciblant l’infrastructure (les couches 3 et 4 du modèle OSI) s’ajoutent désormais souvent des inondations visant la couche 7, soit l’applicatif, au moyen notamment du protocole HTTP.
Netscout, un autre fournisseur de services anti-DDoS, partage ce constat. Dans un rapport publié mercredi, cet éditeur américain estime ainsi que 53 % des attaques exploitent au moins deux vecteurs. Il fait par ailleurs état, pour le premier semestre 2024, d’une augmentation de 43 % du nombre d’attaques visant la couche applicative et d’une hausse de 30 % des attaques volumétriques.
Il attribue une part de cette hausse aux activités de NoName057(16), ce groupe d’activistes pro-russes qui affirmait être à l’origine de la vague d’attaques DDoS ayant ciblé plusieurs dizaines d’institutions françaises début septembre. « NoName057(16) (…) a concentré son activité sur les attaques visant la couche applicative, avec notamment des inondations de type HTTP/S GET Flood et POST Flood, provoquant une augmentation de 43 % par rapport au premier semestre 2023 », remarque ainsi Netscout.
3,8 Tbps et 2,14 milliards de paquets par seconde : nouveau record pour une attaque DDoS
-
Inondation sur les couches 3 et 4
-
Des attaques toujours plus complexes
Commentaires (15)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 03/10/2024 à 11h45
Le 03/10/2024 à 11h47
Le 03/10/2024 à 12h11
Le 03/10/2024 à 13h27
Le 03/10/2024 à 13h50
Le 03/10/2024 à 13h57
Le 03/10/2024 à 14h11
Le 03/10/2024 à 14h45
Le 04/10/2024 à 21h12
Le 03/10/2024 à 12h08
Le 03/10/2024 à 12h23
Le 03/10/2024 à 13h29
Bien entendu la page d'erreur de cloudflare (avec le dessin) indiquait une erreur du journal.
Le 03/10/2024 à 15h09
Pour répondre à ton point sur le refresh, au-delà du comportement imprévu du site, en quoi est-ce gênant que l'URL change ? La page affichée est la même, non ?
Le 03/10/2024 à 16h09
Ce matin les actus étaient arrêtées à mardi.
C'est donc plutôt gênant.
Le 03/10/2024 à 17h33