Attaques DDoS par amplification et problématique des résolveurs ouverts

Les opérateurs du réseau de distribution de contenu CloudFlare ont été à nouveau confrontés à une attaque DDoS par amplification des paquets du système DNS. Un trafic parasite de 20 Gbits/s est tout à fait en mesure de mettre un nœud Internet hors service. Toutefois, en présence de technologies de protection, un réseau proxy de grande capacité pourrait gérer ce flux interminable sans le moindre problème d’accessibilité. C’est pourquoi l’attaque actuelle a été contrôlée dans le but de récolter des données sur les sources du trafic DNS agressif et de les localiser.

Un réseau de zombies classique est en mesure de générer un trafic DDoS d’environ 100 Mbits/s. Pour certains sites, cela peut être de trop mais du point de vue d’une attaque par DDoS, un tel débit n’est pas vraiment sérieux. Pour augmenter la puissance d’une attaque par DDoS, son auteur peut utiliser la technique de « démultiplication » du trafic DDoS à l’aide de périphériques réseau complémentaires utilisés en tant qu’intermédiaires. Ce coup de pouce peut fonctionner uniquement dans les conditions suivantes :

  • le mécanisme autorise la falsification de la source de la requête (la source n’est pas vérifiée) ;
  • la réaction au volume doit être sensiblement supérieure à la requête.

Les premières attaques DDoS par amplification furent les attaques SMURF qui utilisaient le protocole ICMP. Dans ce cas, l’intermédiaire était un routeur du réseau local de diffusion dont la configuration permettait de relayer les requêtes ping destinées à une adresse externe à tous les participants de ce réseau. Le protocole ICMP fonctionne selon le principe « tirer et oublier », sans procédure de reconnaissance mutuelle de l’expéditeur et du destinataire. Si la source de la requête d’écho est remplacée par l’adresse de la victime dans l’en-tête du paquet et que celui-ci est envoyé à l’adresse de diffusion, toutes les réponses des périphériques situés après le routeur vont toucher la cible en un flux unique. La puissance de ce trafic dépend du nombre de périphériques dans le réseau de connexion connectés au routeur.

Au fil du temps, les attaques SMURF ont été abandonnées : les routeurs ont commencé à bloquer les réponses d’écho ICMP ou à ignorer les demandes d’écho ICMP. Les individus malintentionnés se sont alors tournés vers une autre plateforme qui répondait également aux critères requis : DNS. Les requêtes DNS sont transmises via le protocole UDP, dans lequel l’expéditeur n’est pas vérifié, ce qui veut dire qu’il n’est pas à l’abri d’une utilisation malveillante. Ici, le levier qui permet de décupler la puissance d’une attaque DDoS sont les résolveurs ouverts, à savoir des serveurs DNS de mise en cache mal configurés capables de recevoir les requêtes de leurs clients, mais également de n’importe quel utilisateur d’Internet. Le schéma d’une attaque par DDoS qui repose sur la méthode de réflexion des requêtes DNS a déjà été évoqué dans le cadre de la précédente attaque plus destructrice contre CloudFare.

La nouvelle campagne d’attaques DDoS à l’aide de DNS a été étudiée pendant 3 semaines par des spécialistes qui ont bien réparti sur le réseau CDN les flux quotidiens de 20 Gbits/s qui inondaient le site du client. Au cours de cette période, près de 68 500 résolveurs impliqués dans l’attaque par DDoS ont été identifiés. La majorité de ces serveurs se trouvait sur le territoire américain, un pays comptant un nombre incroyable de systèmes autonomes. Toutefois, si on tient compte de la population, la principale source du trafic DNS parasite était Taïwan. HiNet (AS3462), le plus grand fournisseur du pays, occupait la deuxième place dans le classement de CloudFare des résolveurs ouverts exploités par les auteurs de l’attaque DDoS (2 992). La société Pakistan Telecom Company (AS45595, 3 359 serveurs) occupait la tête de ce classement. La liste complète des réseaux AS dotés de résolveurs ouverts (sans indication de l’adresse IP) exploités dans la dernière attaque par DDoS en date est reprise sur une page distincte. Il est possible également de solliciter l’aide de CloudFare.

Pour conclure, il faut signaler que la problématique des résolveurs ouverts est vieille de plus de 10 ans. Le problème est que ces derniers temps, ils ont été largement utilisés par des individus malintentionnés pour organiser de puissantes attaques par DDoS. CloudFare a promis qu’elle allait continuer à publier la liste des résolveurs ouverts gérés depuis longtemps par des organisations comme Team Cymru et aider les opérateurs à résoudre le problème. Les activistes de HostExploit se sont joint à l’effort en publiant un classement des systèmes AS en fonction du niveau d’activité malveillante. Ils ont consacré une section à la problématique des résolveurs ouverts dans leur rapport du troisième trimestre. On y trouve également des statistiques récentes sur les résolveurs ouverts dans les systèmes AS. Ces informations seront mises à jour à intervalle régulier. 4 fournisseurs repris dans le Top 10 d’HostExploit ont été impliqués activement contre leur gré dans les attaques DDoS les plus récentes contre CloudFare. Ainsi, le fournisseur taïwanais HiNet, le deuxième « agresseur » de CloudFare en terme d’agressivité du trafic DNS; figure en troisième position dans le classement d’HostExploit (2 464 résolveurs ouverts) derrière Telecomunicacoes de Santa Catarina (Brésil, AS8167) et Terra Networks Chile (AS7418) avec 2 998 et 3 219 serveurs respectivement.

Source :

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *