Infos

Les auteurs d’attaques DDoS profitent de l’utilisation croissante des services de navigation anonyme

Les révélations d’Edward Snowden ont permis au grand public de prendre conscience de l’ampleur de la cybersurveillance et suite à cela, de nombreux utilisateurs ont commencé à se soucier de la confidentialité sur Internet. Les services de navigation anonyme tels que les serveurs proxy qui masquent l’adresse IP de la source des requêtes et des empreintes HTTP permettent de se protéger des incursions dans sa vie privée. Malheureusement, ces services sont également utilisés par les individus malintentionnés.

Vu l’augmentation du nombre d’utilisations malveillantes de l’anonymat dans le but de réaliser des attaques DDoS, la société Incapsula, spécialiste de la protection contre ce genre d’incident, a décidé d’attirer l’attention de l’opinion publique sur ce problème. D’après ses statistiques, 20 % des attaques DDoS au niveau applicatif repoussées entre le 5 janvier et le 7 février ont utilisé un service de navigation anonyme. Parmi celles-ci, près de 45 % sont venues de Tor et dans 60 % des cas, les attaquants ont utilisé l’outil Hammer de Tor qui permet d’organiser des attaques POST de déni de service lentes et de faible puissance (low-and-slow), mais néanmoins redoutables.

En moyenne, chaque attaque DDoS enregistrée par Incapsula impliquait 1 800 adresses IP associées à des serveurs proxy qui utilisaient le protocole 4387. Globalement, cette armée d’esclaves a permis aux attaquants d’envoyer près de 540 000 requêtes à la cible, même si l’indice maximal relevé par les experts était bien supérieur à la moyenne. La majorité des proxy (adresses IP) utilisés dans le cadre de ces DDoS se trouvait au Viet Nam, aux Etats-Unis, en Chine, au Cambodge et en Indonésie.

En publiant ces chiffres, les chercheurs soulignent que la puissance du trafic indésirable envoyés aux applications lors de ces attaques ne constitue pas l’indice le plus révélateur. La capacité des attaquants à déjouer les mesures de protection est un indice plus important. Lorsque les attaquants organisent une attaque DDoS de niveau 7, comme des attaques HTTP GET/POST flood, ils ne cherchent pas à inonder les canaux du réseau mais bien à épuiser les ressources du serveur. D’après Incapsula, si une attaque de ce genre n’est pas bloquée, il suffira de 50 à 100 requêtes malveillantes par seconde pour mettre hors service le site type d’une petite entreprise hébergé sur un serveur dédié.

L’utilisation de services de navigation anonyme permet à l’individu malintentionné d’organiser une attaque DDoS efficace sans efforts particuliers. Il a besoin seulement d’un ordinateur (le sien ou celui d’une autre personne), d’une boîte à outils DoS ou d’un script qu’il crée lui-même et qui remplit les mêmes fonctions ainsi que d’une liste de serveurs proxy accessibles au public qu’il obtiendra prête à l’emploi ou qu’il composera lui-même à l’aide d’un des nombreux scripts spéciaux disponibles sur le marché noir.

L’existence d’un nombre important d’assistants sous la forme de proxy ouverts lui permet de transformer le flux de requêtes visant à provoquer un déni de service en un attaque DoS distribuée ou DDoS. Les experts ont baptisé ce type d’attaque "Shotgun DDoS" (DDoS à la chevrotine), même si à la différence des projectiles d’un tir à la chevrotine qui partent dans tous les sens, les requêtes envoyées dans le cadre de l’attaque DDoS atteignent toutes la même cible.

Globalement, l’utilisation d’un proxy offre les avantages suivants à l’attaquant :

  • simplicité d’utilisation ;
  • dissimulation de la source IP ;
  • contournement de la protection par ACL car le contrôle des d’accès n’est efficace que dans le cadre de sources uniques de DoS dont le comportement est facilement prévisible ;
  • contournement de la protection par listes noires régionales que certaines organisations utilisent pour bloquer des groupes de sources d’où proviennent peu de requêtes ;
  • obfuscation des en-têtes HTTP (le proxy y intègre de subtiles modifications et en cas d’utilisation massive, celles-ci mettent les bots malveillants à l’abri de la détection sur la base de signatures).

Selon les informations d’Incapsula, la protection contre les attaques de type Shotgun DDoS n’est pas simple à mettre en place et requiert une surveillance constante du trafic entrant afin d’identifier tout comportement inhabituel de la source ainsi qu’un suivi continu de la réputation de l’IP sur une grande plage potentielle. De plus, les services de navigation anonyme sont constamment renouvelés, de nouveaux proxy apparaissent selon une fréquence élevée et les anciens serveurs sont mis hors service.

http://www.incapsula.com/blog/shotgun-ddos-anonymous-proxy.html

Les auteurs d’attaques DDoS profitent de l’utilisation croissante des services de navigation anonyme

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception