Infos

Akamai : le caractère des attaques DDoS a changé

De janvier à mars, les experts en protection contre les attaques DDoS d’Akamai Technologies (PLXsert) ont enregistré pour leur base de clients plus du double d’attaques qu’à la même époque de l’année antérieure, et 35 % de plus qu’au trimestre précédent. D’après les statistiques de la société, ce genre d’incident est devenu plus fréquent, mais, leur intensité a diminué tandis que la durée a augmenté. Alors que l’année dernière, les attaques DDoS très puissantes mais de courte durée étaient la norme, l’attaque moyenne au premier trimestre de cette année n’a pas dépassé 10 Gbits/s et a duré plus de 24 heures.

Ceci étant dit, il y a eu huit incidents impliquant des DDoS dont la puissance a dépassé 100 Gbit/s ; l’année dernière, les incidents d’une telle ampleur étaient rares. Presque toutes ces méga-attaques étaient du type SYN flood. Cinq d’entre elles ont visé des FAI spécialisés dans l’offre de services aux membres du secteur des jeux, entre autres. L’attaque la plus puissante a enregistré un pic à 158 Gbits ; il s’agissait d’une attaque sur plusieurs vecteurs, associant les modalités SYN flood et UDP flood, y compris avec fragmentation des paquets (comme pour les attaques DDoS avec effet de levier DNS ou CHARGEN).

Le pic statistique moyen de puissance des attaques DDoS, d’après les données de PLXsert, a reculé jusque 5,95 Gbit/s, alors que cette valeur avait atteint 6,41 Gbit/s au trimestre précédent et 9,7 Gbit/s au 1er trimestre 2014. Le pic de paquets par seconde a quelque peu diminué en un trimestre et est passé de 2,31 à 2,21 Mpps. La chute par rapport à l’année dernière (19,8 Mpps) est encore plus marquée.

Les experts ont résumé les permutations observées dans le domaine des DDoS de la manière suivante:

par rapport au 4e trimestre 2014

  • Le nombre total d’incidents a augmenté de 35,24 %.
  • Le nombre d’attaques au niveau applicatif (7) a augmenté de 22,22 %.
  • Le nombre d’attaques au niveau réseau (3 et 4) a augmenté de 36,74 %.
  • la durée moyenne d’une attaque DDoS a diminué de 15,37 % et est passée de 29,33 à 24,82 heures.

par rapport au 1e trimestre 2014

  • le nombre total d’attaques DDoS a augmenté de 116,5 %.
  • Le nombre d’attaques de niveau 7 a augmenté de 59,83 %.
  • Le nombre d’attaques au niveau réseau a augmenté de 124,69 %.
  • La durée des attaques a diminué de 42,8 %.

Au cours de la période couverte par le rapport, les DDoS au niveau réseau ont atteint 90,68 % des incidents. Nombreuses ont été les attaques qui ont utilisé la technique de réflexion et de démultiplication du trafic ; comme nous l’avons déjà évoqué à maintes reprises, ces attaques sont simples à réaliser et permettent de créer un volumineux trafic parasite avec un minimum de ressources. De janvier à mars, les individus malintentionnés ont clairement préféré les attaques avec effet de levier SSDP qui ont représenté plus de 20 % de l’ensemble des DDoS enregistrées par PLXsert, soit 6 points de pourcentage en plus qu’au trimestre antérieur. Cette technique fut introduite pour la première fois au 3e trimestre de l’année dernière et n’a cessé de se développer depuis lors. Le fait est que les attaques SSDP utilisent en guise d’intermédiaire des périphériques UPnP de particuliers ou d’entreprises sur lesquels ce service est activé. Ces routeurs, serveurs de média, webcams et autres imprimantes se retrouvent en grande quantité sur le réseau et l’application des correctifs est parfois très complexes.

Cette situation se complique par l’inéluctable extension du marché noir des services DDoS et l’augmentation globale de la bande passante des canaux Internet. Les experts signalent qu’il y a un an, il était rare que les auteurs d’attaques DDoS commanditées puissent offrir à leurs clients des puissances supérieures à 10 à 20 Gbit/s. A l’heure actuelle, de nombreux services clandestins peuvent garantir des puissances supérieures à 100 Gbit/s. Ils sont en permanence à l’affût de nouveautés qu’ils adoptent avec une grande efficacité ; ainsi, les attaques SSDP en tant que service sont devenues courantes. De plus, lors du trimestre écoulé, PLXsert a découvert plusieurs sites clandestins qui utilisent toujours le même script pour exécuter les attaques commanditées.

Selon les statistiques présentées dans le rapport Akamai, le classement des vecteurs d’attaque a également été modifié. Les attaques SSDP occupent la 1re position avec 20,78 % de l’ensemble des DDoS ; les autres attaques avec effet de levier sont toujours d’actualité, mais affichent des résultats plus modestes : NTP 6,87 %, DNS 5,93 %, CHARGEN 5,78 %. La part de l’ancien leader, à savoir SYN flood, dans le trafic parasite global a atteint 15,79 %. UDP représente 13,25 % et UDP avec fragmentation, 12 %.

PLXsert indique que les attaques contre les applications ont été principalement du type GET flood (7,47 % des DDoS). Elles se passent de réseaux de zombies, utilisent massivement des scripts, des proxys ouverts ainsi que des sites compromis réalisés avec WordPress et Joomla. Dans de nombreux cas, le flux HTTP GET observé était un flux redirigé en provenance d’Asie.

A l’instar des deux trimestres antérieurs, la cible principale des individus malintentionnés demeurent les sites de jeux, victimes de 35 % des DDoS. Ces attaques sont bien souvent organisées dans le but de se vanter, de nuire à la réputation ou d’interrompre le fonctionnement normal de la ressource. Elles ont été particulièrement fréquentes en janvier. Les éditeurs de logiciels et les prestataires de services informatiques (SaaS et services dans le Cloud, 25 % ensemble) occupent la 2e place du classement des cibles des auteurs d’attaques DDoS. Les FAI et opérateurs de téléphonie mobile sont en 3e position (14 %). PLXsert signale toutefois que les attaques contre les fournisseurs SaaS, de services Cloud ou d’accès Internet étaient en réalité des attaques indirectes contre les sites de jeux cités cités ci-dessus.

Pour la période couverte par le rapport, les principaux pays source de trafic DDoS ont été la Chine (23 %) et l’Allemagne (17 %). Au 4e trimestre, le leader avait été les Etats-Unis (12 %). Il faut toutefois signaler que la part de chacun des membres de ce Top 10 a sensiblement diminué.

Notons aussi que ce rapport trimestriel d’Akamai sur la sécurité d’Internet est le premier rapport qui réunit les statistiques de PLXsert sur les attaques DDoS et les résultats de l’analyse des données récoltées par les services traditionnels du fournisseur CDN. La société a manifesté son intention de conserver ce format en maintenant l’accent sur les menaces DDoS et en ajoutant
des rubriques spéciales et une analyse des tendances. Outre l’analyse détaillée de la situation des DDoS, le présent rapport aborde également l’assimilation de l’espace IPv6, la défiguration de sites ou les attaques les plus fréquentes contre les applications Internet. Akamai a enregistré sur le trimestre près de 179 millions d’attaques contre des applications, organisées selon 7 vecteurs principaux. Les attaques LFI (inclusion d’un fichier aléatoire dans un document actif sur le serveur) figurent parmi les préférées des individus malintentionnés, avec plus de 66 % des incidents ; en terme de fréquence, les attaques LFI dépassent même l’ancien favori que sont les injections SQL (plus de 29 %).

L’intégralité du rapport trimestriel d’Akamai est accessible sur le site de la société (inscription requise).

Akamai

Akamai : le caractère des attaques DDoS a changé

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception