Voici à quoi ressemblait la plus grande attaque DDoS de l’histoire.

Comparées à la sophistication que peuvent avoir les attaques par ransomware, ou à la « beauté intrinsèque » que peuvent avoir les attaques de phishing plus complexes, les attaques par déni de service (DDoS) peuvent sembler les plus grossières : des millions de requêtes ciblant une adresse IP pour mettre hors service un serveur ou un groupe de serveurs.

Et malgré le fait que la technique puisse sembler « rudimentaire » et sans avantage économique évident (le mot clé étant ici « évident »), la vérité est que les groupes qui s’organisent pour mener ce type d’attaque ne sont pas seulement de plus en plus grands, mais ces derniers mois, ils ont démontré à quel point leurs actions peuvent affecter l’ensemble du réseau.

Un bon exemple est celui de Microsoft. Son équipe de protection DDoS Azure vient d’annoncer qu’en novembre dernier, elle a repoussé ce qui, selon les experts du secteur, était probablement la plus grande attaque DDoS de l’histoire : un torrent de données indésirables avec un « déluge » de 3,47 térabits par seconde . L’attaque provient de 10 000 sites différents dans au moins dix pays. Redmond a expliqué que l’attaque visait une grande entreprise asiatique et a duré deux minutes.

En décembre, la société a détecté deux autres attaques massives contre certains de ses clients. La première, qui s’est déroulée en quatre « vagues », avait un débit de données de 3,25 TBps et a duré quinze minutes. La seconde, au cours du même mois, a culminé à 2,54 TBps et a duré cinq minutes.

Comme l’explique la multinationale américaine, ces attaques sont déjà 35% plus élevées que celles enregistrées en 2018, ce qui nous indique une tendance qui, loin de disparaître, va et continuera d’augmenter, surtout de ce dernier type qui est détecté ces derniers temps. Il faut garder à l’esprit à cet égard que les attaques DDoS par paquets par seconde opèrent en épuisant les ressources informatiques d’un serveur alors que les attaques volumétriques plus traditionnelles, en revanche, consomment la bande passante disponible, soit au sein du réseau ou du service ciblé, soit entre la cible et le reste de l’internet. Dans le nouveau record de novembre dernier, les attaquants ont réussi à délivrer environ 340 millions de paquets par seconde.

La logique d’une super attaque DDoS

Comment des attaques DDoS aussi massives sont-elles réalisées ? Comme l’explique Ars Technica, l’une des méthodes « traditionnelles » consiste à augmenter le nombre d’ordinateurs, de routeurs et d’autres appareils connectés à Internet qui ont été compromis et donc « recrutés » dans leur « armée ». Cette catégorie comprend également les gros serveurs infectés qui disposent déjà d’une une bande passante accrue qu’ils peuvent utiliser .

Une autre façon de procéder est d’utiliser vecteurs d’amplification . Dans ce type d’attaque, les cybercriminels ciblent des appareils connectés à Internet mal configurés, qui redirigent ensuite une attaque beaucoup plus importante vers la cible finale. C’est cette dernière méthode qui est à l’origine de la récente « course aux armements » dans le monde des attaques DDoS.

Il est bien connu que les cybercriminels qui utilisent cette méthode sont constamment à la recherche de nouveaux vecteurs d’amplification. En 2014, l’attaque NTP (Network Time Protocol) est devenue à la mode, faisant tomber les serveurs d’entreprises telles que Steam, Origin ou EA. Cette méthode Cette méthode a permis de multiplier par 206 les performances de l’attaque. ce qui signifie qu’un gigaoctet de données délivré par un dispositif vectorisé atteint 206 gigaoctets au moment où il atteint sa cible finale.

En 2018, les attaquants ont commencé à utiliser memcachd, un système de mise en cache des bases de données pour accélérer les sites web et les réseaux, et qui a permis d’amplifier l’attaque initiale. jusqu’à 51 000 fois . Un an plus tard, le DDoS a été pris en charge par des appareils utilisant WS-Discovery, un protocole que l’on trouve dans un large éventail de caméras connectées au réseau, de DVR et d’autres appareils de l’Internet des objets.

Plus récemment, des attaques DDoS ont exploité RDP de Microsoft et des serveurs mal configurés exécutant CLDAP (abréviation de Connectionless Lightweight Directory Access Protocol) et Plex Media Server lorsqu’ils exécutent le Simple Service Discovery Protocol (ou SSDP).

Malheureusement, il existe encore des millions d’appareils connectés à l’internet qui ne sont pas configurés correctement. Nous continuerons donc à assister à ce type d’attaques dans les mois et les années à venir, occupant une place particulièrement importante dans les actes de sabotage et de cyberguerre.