Infos

Attaque DDoS de 400 Gbits/s avec amplification NTP

Ceux qui pensaient que le record de puissance atteint lors de l’attaque DDoS menée l’année dernière contre Spamhaus n’était pas prêt de tomber ont eu droit à un choc. Le 10 février, un groupe inconnu d’individus malintentionnés a déversé un flux impressionnant de données parasites sur plusieurs serveurs Internet européens. Cette attaque a atteint des pics à 400 Gbits/s.

Les détails de cette attaque ont été dévoilés dans des tweets publiés par Matthew Prince, directeur exécutif de CloudFlare, pendant l’attaque. Selon Matthew Prince, cette attaque visait un opérateur de réseau étendu de livraison de contenu, client de sa société. Matthew Prince avait commenté "Quelqu’un a reçu un gros calibre, attendez-vous à de mauvaises surprises".

Le pic de cette nouvelle attaque DDoS surpassait l’incident similaire dont avait été victime Spamhaus au mois de mars de l’année dernière. Le débit maximum du trafic parasite avait alors été estimé à 300 Gbits/s, soit le triple du niveau atteint quelques mois auparavant dans le cadre d’attaques menées contre des banques américaines. Et cette semaine, OVH, le principal hébergeur en France, avait par exemple enregistré un pic "bien supérieur à 340 Gbits/s".

Malgré la puissance inédite de l’attaque contre le client de CloudFlare, le responsable de la société a indiqué qu’elle n’avait pas entraîné de grandes perturbations. Mathew Prince a précisé : "Des ralentissements complémentaires ont été observés en Europe de l’Ouest, mais dans l’ensemble, le réseau n’a pas souffert. L’attaque a été réalisée en misant sur la puissance et des surcharges de niveau 3 ont été observées à certains endroits en Europe. Le coup a envoyé des ondes de choc sur l’ensemble de notre réseau international, mais les clients en dehors de l’Europe n’ont pratiquement rien ressenti". D’après un tweet, cette puissante attaque DDoS fut repoussée le jour même.DDoS.

Comme nous l’avons appris, ce volume de trafic parasite inquiétant avait été généré à l’aide d’intermédiaire d’amplification. Mais cette fois-ci, il ne s’agissait pas de résolveurs DNS, comme dans le cadre de l’attaque contre Spamhaus, mais bien bien de services de synchronisation de l’heure vulnérables fonctionnant sous le protocole NTP. Vers la fin de l’année dernière, les experts avaient remarqué une augmentation du nombre d’attaques par amplification NTP et après quelques incidents qui avaient touché le secteur des jeux, le CERT américain avait émis les avertissements de rigueur.

Malheureusement, il existe sur Internet de nombreux serveurs NTP qui sont mal configurés et qui peuvent dès lors être utilisés à des fins malveillantes. L’attaquant peut envoyer à un serveur de cette catégorie une requête d’exécution d’une commande définie (MON_GETLIST), usurper l’adresse IP de l’expéditeur et diriger le flux de paquets de réponse vers une cible choisie. La taille de la réponse peut être 100 plus grande que celle de la requête. "Dans la mesure où les réponses contiennent des données acceptables en provenance de serveurs légitimes, ces attaques sont difficiles à intercepter" déclare l’US-CERT dans son avertissement. Il recommande aux propriétaires de serveurs NTP d’interdire l’exécution de la commande monlist ou de mettre le serveur à jour jusque la version  4.2.7p26 dans laquelle la prise en charge de cette commande est désactivée.

http://threatpost.com/ntp-amplification-blamed-for-400-gbps-ddos-attack/104201

Attaque DDoS de 400 Gbits/s avec amplification NTP

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception