Cloudflare a détaillé mercredi les modalités d’une attaque par déni de service distribué (DDoS) ayant entraîné des pics de trafic allant jusqu’à 3,8 Tb/s et 2,14 milliards de paquets par seconde.

« Tous les records ne font pas forcément plaisir à battre », a plaisanté Matthew Prince, CEO de Cloudflare, sur X. Son entreprise a publié mercredi un billet en forme de retour d’expérience sur une attaque par déni de service qu’elle qualifie de « record ». L’opération visait selon Cloudflare un client hébergeur servant de nombreuses entreprises, dont l’identité n’est pas précisée. Elle aurait été intégralement « atténuée » par l’infrastructure et les défenses de Cloudflare, sans conséquence donc pour les utilisateurs finaux.

Rappelons en premier lieu la finalité d’une attaque par déni de service (DDoS, pour distributed denial of service) : l’attaquant cherche à submerger un système informatique de requêtes ou de données, de façon à en paralyser le fonctionnement. Pour ce faire, il exploite généralement un réseau de machines infectées (un botnet, d’où l’aspect distribué). Les techniques varient ensuite selon que l’attaquant cherche à saturer les liaisons réseau, les processeurs nécessaires aux calculs de routage, la mémoire vive, etc.

Inondation sur les couches 3 et 4

Dans le cas de cette attaque, Cloudflare dit avoir observé un trafic émanant principalement du Vietnam, de la Russie, du Brésil, de l’Espagne et des États-Unis, avec des requêtes transmises via le protocole UDP sur un port fixe. L’éditeur ne précise pas le volume de machines attaquantes. Il affirme cependant que figuraient dans le lot des appareils MikroTik (fabricant réseau letton), des serveurs Web, ainsi que des enregistreurs vidéo personnels et des routeurs Asus grand public.

Ce réseau aurait lancé plus d’une centaine d’attaques sur un mois, dont plusieurs dépassaient les 2 milliards de paquets par seconde et les 3 Tb/s de bande passante, avec un pic à 2,14 milliards de paquets et 3,8 Tb/s pendant plus de 60 secondes en continu. « Soit la plus grande attaque jamais divulguée publiquement par une organisation », assure la société, coutumière des déclarations relatives à ce genre de « records ».

Plus que la bande passante, ici exprimée en térabits par seconde, c’est surtout le volume de paquets qui revêt ici une dimension exceptionnelle, illustrant une tendance à laquelle sensibilisaient déjà les équipes DDoS d’OVHcloud en juillet dernier : les attaques par débit de paquets. Celles-ci ne cherchent pas à saturer les tuyaux (en utilisant par exemple des techniques telles que l’amplification DNS), mais les CPU chargés d’analyser les paquets entrants.

La force de ces attaques ne réside donc plus dans le volume (la bande passante), mais dans le nombre de paquets. « En bref, une attaque DDoS de 10 Gb/s avec de gros paquets (1 480 octets) produit environ 0,85 million de paquets par seconde (Mpps) : en comparaison, 10 Gb/s avec les plus petits paquets (84 octets sur le fil pour Ethernet) produit un énorme flux de 14,88 Mpps environ », résumaient alors les ingénieurs d’OVHcloud.  

La technique en tant que tel n’a rien d’inédit. Mais OVHcloud comme Cloudflare remarquent qu’elle est de plus en plus fréquente, ce qui implique, pour tous les spécialistes de la lutte anti-DDoS, la mise en place de défenses adaptées. « Pour vous défendre contre les attaques à haut débit de paquets, vous devez être en mesure d'inspecter et d'éliminer les mauvais paquets en utilisant aussi peu de cycles CPU que possible, tout en laissant suffisamment de ressources processeur pour traiter les paquets adéquats », résume à ce sujet Cloudflare.

Des attaques toujours plus complexes

Dans son rapport annuel sur la sécurité, analysé par Next en août dernier, Akamai soulignait déjà la propension grandissante des auteurs d’attaques DDoS à multiplier les canaux pour augmenter l’efficacité de leurs opérations. Aux flux ciblant l’infrastructure (les couches 3 et 4 du modèle OSI) s’ajoutent désormais souvent des inondations visant la couche 7, soit l’applicatif, au moyen notamment du protocole HTTP.

Netscout, un autre fournisseur de services anti-DDoS, partage ce constat. Dans un rapport publié mercredi, cet éditeur américain estime ainsi que 53 % des attaques exploitent au moins deux vecteurs. Il fait par ailleurs état, pour le premier semestre 2024, d’une augmentation de 43 % du nombre d’attaques visant la couche applicative et d’une hausse de 30 % des attaques volumétriques.

Il attribue une part de cette hausse aux activités de NoName057(16), ce groupe d’activistes pro-russes qui affirmait être à l’origine de la vague d’attaques DDoS ayant ciblé plusieurs dizaines d’institutions françaises début septembre. « NoName057(16) (…) a concentré son activité sur les attaques visant la couche applicative, avec notamment des inondations de type HTTP/S GET Flood et POST Flood, provoquant une augmentation de 43 % par rapport au premier semestre 2023 », remarque ainsi Netscout.

• On vous explique (simplement) comment fonctionnent les tuyaux d’Internet