Akamai : le caractère des attaques DDoS a changé

De janvier à mars, les experts en protection contre les attaques DDoS d’Akamai Technologies (PLXsert) ont enregistré pour leur base de clients plus du double d’attaques qu’à la même époque de l’année antérieure, et 35 % de plus qu’au trimestre précédent. D’après les statistiques de la société, ce genre d’incident est devenu plus fréquent, mais, leur intensité a diminué tandis que la durée a augmenté. Alors que l’année dernière, les attaques DDoS très puissantes mais de courte durée étaient la norme, l’attaque moyenne au premier trimestre de cette année n’a pas dépassé 10 Gbits/s et a duré plus de 24 heures.

Ceci étant dit, il y a eu huit incidents impliquant des DDoS dont la puissance a dépassé 100 Gbit/s ; l’année dernière, les incidents d’une telle ampleur étaient rares. Presque toutes ces méga-attaques étaient du type SYN flood. Cinq d’entre elles ont visé des FAI spécialisés dans l’offre de services aux membres du secteur des jeux, entre autres. L’attaque la plus puissante a enregistré un pic à 158 Gbits ; il s’agissait d’une attaque sur plusieurs vecteurs, associant les modalités SYN flood et UDP flood, y compris avec fragmentation des paquets (comme pour les attaques DDoS avec effet de levier DNS ou CHARGEN).

Le pic statistique moyen de puissance des attaques DDoS, d’après les données de PLXsert, a reculé jusque 5,95 Gbit/s, alors que cette valeur avait atteint 6,41 Gbit/s au trimestre précédent et 9,7 Gbit/s au 1er trimestre 2014. Le pic de paquets par seconde a quelque peu diminué en un trimestre et est passé de 2,31 à 2,21 Mpps. La chute par rapport à l’année dernière (19,8 Mpps) est encore plus marquée.

Les experts ont résumé les permutations observées dans le domaine des DDoS de la manière suivante:

par rapport au 4e trimestre 2014

  • Le nombre total d’incidents a augmenté de 35,24 %.
  • Le nombre d’attaques au niveau applicatif (7) a augmenté de 22,22 %.
  • Le nombre d’attaques au niveau réseau (3 et 4) a augmenté de 36,74 %.
  • la durée moyenne d’une attaque DDoS a diminué de 15,37 % et est passée de 29,33 à 24,82 heures.

par rapport au 1e trimestre 2014

  • le nombre total d’attaques DDoS a augmenté de 116,5 %.
  • Le nombre d’attaques de niveau 7 a augmenté de 59,83 %.
  • Le nombre d’attaques au niveau réseau a augmenté de 124,69 %.
  • La durée des attaques a diminué de 42,8 %.

Au cours de la période couverte par le rapport, les DDoS au niveau réseau ont atteint 90,68 % des incidents. Nombreuses ont été les attaques qui ont utilisé la technique de réflexion et de démultiplication du trafic ; comme nous l’avons déjà évoqué à maintes reprises, ces attaques sont simples à réaliser et permettent de créer un volumineux trafic parasite avec un minimum de ressources. De janvier à mars, les individus malintentionnés ont clairement préféré les attaques avec effet de levier SSDP qui ont représenté plus de 20 % de l’ensemble des DDoS enregistrées par PLXsert, soit 6 points de pourcentage en plus qu’au trimestre antérieur. Cette technique fut introduite pour la première fois au 3e trimestre de l’année dernière et n’a cessé de se développer depuis lors. Le fait est que les attaques SSDP utilisent en guise d’intermédiaire des périphériques UPnP de particuliers ou d’entreprises sur lesquels ce service est activé. Ces routeurs, serveurs de média, webcams et autres imprimantes se retrouvent en grande quantité sur le réseau et l’application des correctifs est parfois très complexes.

Cette situation se complique par l’inéluctable extension du marché noir des services DDoS et l’augmentation globale de la bande passante des canaux Internet. Les experts signalent qu’il y a un an, il était rare que les auteurs d’attaques DDoS commanditées puissent offrir à leurs clients des puissances supérieures à 10 à 20 Gbit/s. A l’heure actuelle, de nombreux services clandestins peuvent garantir des puissances supérieures à 100 Gbit/s. Ils sont en permanence à l’affût de nouveautés qu’ils adoptent avec une grande efficacité ; ainsi, les attaques SSDP en tant que service sont devenues courantes. De plus, lors du trimestre écoulé, PLXsert a découvert plusieurs sites clandestins qui utilisent toujours le même script pour exécuter les attaques commanditées.

Selon les statistiques présentées dans le rapport Akamai, le classement des vecteurs d’attaque a également été modifié. Les attaques SSDP occupent la 1re position avec 20,78 % de l’ensemble des DDoS ; les autres attaques avec effet de levier sont toujours d’actualité, mais affichent des résultats plus modestes : NTP 6,87 %, DNS 5,93 %, CHARGEN 5,78 %. La part de l’ancien leader, à savoir SYN flood, dans le trafic parasite global a atteint 15,79 %. UDP représente 13,25 % et UDP avec fragmentation, 12 %.

PLXsert indique que les attaques contre les applications ont été principalement du type GET flood (7,47 % des DDoS). Elles se passent de réseaux de zombies, utilisent massivement des scripts, des proxys ouverts ainsi que des sites compromis réalisés avec WordPress et Joomla. Dans de nombreux cas, le flux HTTP GET observé était un flux redirigé en provenance d’Asie.

A l’instar des deux trimestres antérieurs, la cible principale des individus malintentionnés demeurent les sites de jeux, victimes de 35 % des DDoS. Ces attaques sont bien souvent organisées dans le but de se vanter, de nuire à la réputation ou d’interrompre le fonctionnement normal de la ressource. Elles ont été particulièrement fréquentes en janvier. Les éditeurs de logiciels et les prestataires de services informatiques (SaaS et services dans le Cloud, 25 % ensemble) occupent la 2e place du classement des cibles des auteurs d’attaques DDoS. Les FAI et opérateurs de téléphonie mobile sont en 3e position (14 %). PLXsert signale toutefois que les attaques contre les fournisseurs SaaS, de services Cloud ou d’accès Internet étaient en réalité des attaques indirectes contre les sites de jeux cités cités ci-dessus.

Pour la période couverte par le rapport, les principaux pays source de trafic DDoS ont été la Chine (23 %) et l’Allemagne (17 %). Au 4e trimestre, le leader avait été les Etats-Unis (12 %). Il faut toutefois signaler que la part de chacun des membres de ce Top 10 a sensiblement diminué.

Notons aussi que ce rapport trimestriel d’Akamai sur la sécurité d’Internet est le premier rapport qui réunit les statistiques de PLXsert sur les attaques DDoS et les résultats de l’analyse des données récoltées par les services traditionnels du fournisseur CDN. La société a manifesté son intention de conserver ce format en maintenant l’accent sur les menaces DDoS et en ajoutant
des rubriques spéciales et une analyse des tendances. Outre l’analyse détaillée de la situation des DDoS, le présent rapport aborde également l’assimilation de l’espace IPv6, la défiguration de sites ou les attaques les plus fréquentes contre les applications Internet. Akamai a enregistré sur le trimestre près de 179 millions d’attaques contre des applications, organisées selon 7 vecteurs principaux. Les attaques LFI (inclusion d’un fichier aléatoire dans un document actif sur le serveur) figurent parmi les préférées des individus malintentionnés, avec plus de 66 % des incidents ; en terme de fréquence, les attaques LFI dépassent même l’ancien favori que sont les injections SQL (plus de 29 %).

L’intégralité du rapport trimestriel d’Akamai est accessible sur le site de la société (inscription requise).

Akamai

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *