Infos

Attaque DDoS de 400 Gbits/s avec amplification NTP : terrifiante de simplicité

L'attaque DDoS dont tout le monde parle dans la communauté Internet ne s'est pas contentée d'établir un nouveau record de puissance (400 Gbits/s). Elle a également mis en évidence d'autres chiffres qui ne peuvent que susciter notre inquiétude. Elle a impliqué 4 529 serveurs NTP intermédiaires répartis dans 1 298 réseaux AS distincts. Chacun d'entre eux a dirigé en moyenne un débit de 87 Mbits/s de trafic parasite vers la cible. Toutefois, la découverte la plus étonnante et la plus effrayante est sans conteste le premier chiffre.

Matthew Prince, directeur exécutif de CloudFlare, a déclaré : "Il faut noter que l'attaque a été organisée,selon toute vraisemblance, depuis un serveur unique présent sur un réseau qui accepte l'usurpation de l'adresse IP lors de l'envoi des requêtes". Matthew Prince a commenté le déroulement de l'attaque via Twitter et indiquait lundi que la cible de l'attaque était l'opérateur d'un grand réseau CDN européen, client de CloudFlare.

La simplicité de l'organisation d'une attaque DDoS avec amplification NTP est une mauvaise nouvelle pour les victimes potentielles. Elle suscite des inquiétudes justifiées et donne l'impression d'une situation sans aucun contrôle. C'est ce qu'ont du ressentir les banques américaines lorsque leurs ressources furent mises à mal l'une après l'autre lors d'une campagne DDoS baptisée "Opération Ababil".

Le directeur exécutif de CloudFlare a indiqué à Threatpost que l'attaque menée contre le participant au réseau CDN avait duré 2 heures et que les conséquences de celles-ci avaient été éliminées le jour même. Ce sont les Français qui ont été le plus confrontés aux surcharges lors de l'attaque : ainsi, OVH, le principal hébergeur du pays, a enregistré un pic de trafic parasite de 325 Gbits/sec ; la veille, durant le week-end, certains sites français ciblés ont observé une augmentation du trafic pouvant atteindre 80 Go. D'après les données de CloudFlare, les ressources d'OVH ont également été une des sources principales du trafic parasite NTP. Les opérateurs du réseau CDN ont recensé plus de 4 500 serveurs faisant office de leviers impliqués dans cette attaque, soit près de 7 fois moins que lors de l'incident similaire contre Spamhaus (à l'époque, les individus malintentionnés avaient utilisé des résolveurs DNS pour renforcer le trafic). Ceci étant dit, le pic de puissance de la nouvelle attaque DDoS était quant à lui 33 % supérieur.

Matthew Prince signale que "pour arrêter une attaque d'une telle puissance, il faut à un certain niveau disposer de plus de ressources que les attaquants. Il est évident que le nombre d'attaques NTP va augmenter. Dans la mesure où chaque serveur mal configuré peut entraîner une amplification multipliée par 10 par rapport à un résolveur DNS typique, les serveurs NTP constituent une menace sérieuse".   

Malheureusement, l'utilisation malveillante du service NTP pour amplifier le trafic d'une attaque DDoS n'est qu'une des possibilités offertes aux individus malintentionnés. Il existe sur Internet d'autres protocoles standard aussi vulnérables comme le protocole SNMP qui assure les communications entre les périphériques IP (routeurs). Matthew Prince nous met en garde : "La faiblesse du protocole NTP n'est pas le plus grand défaut. En théorie, le protocole SNMP possède un pouvoir d'amplification multiplié par 650 et d'après nos observations, les organisateurs d'attaque DDoS ont déjà commencé à le tester."

http://threatpost.com/400-gbps-ntp-amplification-attack-alarmingly-simple/104256

Attaque DDoS de 400 Gbits/s avec amplification NTP : terrifiante de simplicité

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception