Attaque DDoS de 400 Gbits/s avec amplification NTP : terrifiante de simplicité

L'attaque DDoS dont tout le monde parle dans la communauté Internet ne s'est pas contentée d'établir un nouveau record de puissance (400 Gbits/s). Elle a également mis en évidence d'autres chiffres qui ne peuvent que susciter notre inquiétude. Elle a impliqué 4 529 serveurs NTP intermédiaires répartis dans 1 298 réseaux AS distincts. Chacun d'entre eux a dirigé en moyenne un débit de 87 Mbits/s de trafic parasite vers la cible. Toutefois, la découverte la plus étonnante et la plus effrayante est sans conteste le premier chiffre.

Matthew Prince, directeur exécutif de CloudFlare, a déclaré : "Il faut noter que l'attaque a été organisée,selon toute vraisemblance, depuis un serveur unique présent sur un réseau qui accepte l'usurpation de l'adresse IP lors de l'envoi des requêtes". Matthew Prince a commenté le déroulement de l'attaque via Twitter et indiquait lundi que la cible de l'attaque était l'opérateur d'un grand réseau CDN européen, client de CloudFlare.

La simplicité de l'organisation d'une attaque DDoS avec amplification NTP est une mauvaise nouvelle pour les victimes potentielles. Elle suscite des inquiétudes justifiées et donne l'impression d'une situation sans aucun contrôle. C'est ce qu'ont du ressentir les banques américaines lorsque leurs ressources furent mises à mal l'une après l'autre lors d'une campagne DDoS baptisée "Opération Ababil".

Le directeur exécutif de CloudFlare a indiqué à Threatpost que l'attaque menée contre le participant au réseau CDN avait duré 2 heures et que les conséquences de celles-ci avaient été éliminées le jour même. Ce sont les Français qui ont été le plus confrontés aux surcharges lors de l'attaque : ainsi, OVH, le principal hébergeur du pays, a enregistré un pic de trafic parasite de 325 Gbits/sec ; la veille, durant le week-end, certains sites français ciblés ont observé une augmentation du trafic pouvant atteindre 80 Go. D'après les données de CloudFlare, les ressources d'OVH ont également été une des sources principales du trafic parasite NTP. Les opérateurs du réseau CDN ont recensé plus de 4 500 serveurs faisant office de leviers impliqués dans cette attaque, soit près de 7 fois moins que lors de l'incident similaire contre Spamhaus (à l'époque, les individus malintentionnés avaient utilisé des résolveurs DNS pour renforcer le trafic). Ceci étant dit, le pic de puissance de la nouvelle attaque DDoS était quant à lui 33 % supérieur.

Matthew Prince signale que "pour arrêter une attaque d'une telle puissance, il faut à un certain niveau disposer de plus de ressources que les attaquants. Il est évident que le nombre d'attaques NTP va augmenter. Dans la mesure où chaque serveur mal configuré peut entraîner une amplification multipliée par 10 par rapport à un résolveur DNS typique, les serveurs NTP constituent une menace sérieuse".   

Malheureusement, l'utilisation malveillante du service NTP pour amplifier le trafic d'une attaque DDoS n'est qu'une des possibilités offertes aux individus malintentionnés. Il existe sur Internet d'autres protocoles standard aussi vulnérables comme le protocole SNMP qui assure les communications entre les périphériques IP (routeurs). Matthew Prince nous met en garde : "La faiblesse du protocole NTP n'est pas le plus grand défaut. En théorie, le protocole SNMP possède un pouvoir d'amplification multiplié par 650 et d'après nos observations, les organisateurs d'attaque DDoS ont déjà commencé à le tester."

http://threatpost.com/400-gbps-ntp-amplification-attack-alarmingly-simple/104256

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *