Attaque DDoS de 400 Gbits/s avec amplification NTP

Ceux qui pensaient que le record de puissance atteint lors de l’attaque DDoS menée l’année dernière contre Spamhaus n’était pas prêt de tomber ont eu droit à un choc. Le 10 février, un groupe inconnu d’individus malintentionnés a déversé un flux impressionnant de données parasites sur plusieurs serveurs Internet européens. Cette attaque a atteint des pics à 400 Gbits/s.

Les détails de cette attaque ont été dévoilés dans des tweets publiés par Matthew Prince, directeur exécutif de CloudFlare, pendant l’attaque. Selon Matthew Prince, cette attaque visait un opérateur de réseau étendu de livraison de contenu, client de sa société. Matthew Prince avait commenté "Quelqu’un a reçu un gros calibre, attendez-vous à de mauvaises surprises".

Le pic de cette nouvelle attaque DDoS surpassait l’incident similaire dont avait été victime Spamhaus au mois de mars de l’année dernière. Le débit maximum du trafic parasite avait alors été estimé à 300 Gbits/s, soit le triple du niveau atteint quelques mois auparavant dans le cadre d’attaques menées contre des banques américaines. Et cette semaine, OVH, le principal hébergeur en France, avait par exemple enregistré un pic "bien supérieur à 340 Gbits/s".

Malgré la puissance inédite de l’attaque contre le client de CloudFlare, le responsable de la société a indiqué qu’elle n’avait pas entraîné de grandes perturbations. Mathew Prince a précisé : "Des ralentissements complémentaires ont été observés en Europe de l’Ouest, mais dans l’ensemble, le réseau n’a pas souffert. L’attaque a été réalisée en misant sur la puissance et des surcharges de niveau 3 ont été observées à certains endroits en Europe. Le coup a envoyé des ondes de choc sur l’ensemble de notre réseau international, mais les clients en dehors de l’Europe n’ont pratiquement rien ressenti". D’après un tweet, cette puissante attaque DDoS fut repoussée le jour même.DDoS.

Comme nous l’avons appris, ce volume de trafic parasite inquiétant avait été généré à l’aide d’intermédiaire d’amplification. Mais cette fois-ci, il ne s’agissait pas de résolveurs DNS, comme dans le cadre de l’attaque contre Spamhaus, mais bien bien de services de synchronisation de l’heure vulnérables fonctionnant sous le protocole NTP. Vers la fin de l’année dernière, les experts avaient remarqué une augmentation du nombre d’attaques par amplification NTP et après quelques incidents qui avaient touché le secteur des jeux, le CERT américain avait émis les avertissements de rigueur.

Malheureusement, il existe sur Internet de nombreux serveurs NTP qui sont mal configurés et qui peuvent dès lors être utilisés à des fins malveillantes. L’attaquant peut envoyer à un serveur de cette catégorie une requête d’exécution d’une commande définie (MON_GETLIST), usurper l’adresse IP de l’expéditeur et diriger le flux de paquets de réponse vers une cible choisie. La taille de la réponse peut être 100 plus grande que celle de la requête. "Dans la mesure où les réponses contiennent des données acceptables en provenance de serveurs légitimes, ces attaques sont difficiles à intercepter" déclare l’US-CERT dans son avertissement. Il recommande aux propriétaires de serveurs NTP d’interdire l’exécution de la commande monlist ou de mettre le serveur à jour jusque la version  4.2.7p26 dans laquelle la prise en charge de cette commande est désactivée.

http://threatpost.com/ntp-amplification-blamed-for-400-gbps-ddos-attack/104201

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *