Les auteurs d’attaques DDoS profitent de l’utilisation croissante des services de navigation anonyme

Les révélations d’Edward Snowden ont permis au grand public de prendre conscience de l’ampleur de la cybersurveillance et suite à cela, de nombreux utilisateurs ont commencé à se soucier de la confidentialité sur Internet. Les services de navigation anonyme tels que les serveurs proxy qui masquent l’adresse IP de la source des requêtes et des empreintes HTTP permettent de se protéger des incursions dans sa vie privée. Malheureusement, ces services sont également utilisés par les individus malintentionnés.

Vu l’augmentation du nombre d’utilisations malveillantes de l’anonymat dans le but de réaliser des attaques DDoS, la société Incapsula, spécialiste de la protection contre ce genre d’incident, a décidé d’attirer l’attention de l’opinion publique sur ce problème. D’après ses statistiques, 20 % des attaques DDoS au niveau applicatif repoussées entre le 5 janvier et le 7 février ont utilisé un service de navigation anonyme. Parmi celles-ci, près de 45 % sont venues de Tor et dans 60 % des cas, les attaquants ont utilisé l’outil Hammer de Tor qui permet d’organiser des attaques POST de déni de service lentes et de faible puissance (low-and-slow), mais néanmoins redoutables.

En moyenne, chaque attaque DDoS enregistrée par Incapsula impliquait 1 800 adresses IP associées à des serveurs proxy qui utilisaient le protocole 4387. Globalement, cette armée d’esclaves a permis aux attaquants d’envoyer près de 540 000 requêtes à la cible, même si l’indice maximal relevé par les experts était bien supérieur à la moyenne. La majorité des proxy (adresses IP) utilisés dans le cadre de ces DDoS se trouvait au Viet Nam, aux Etats-Unis, en Chine, au Cambodge et en Indonésie.

En publiant ces chiffres, les chercheurs soulignent que la puissance du trafic indésirable envoyés aux applications lors de ces attaques ne constitue pas l’indice le plus révélateur. La capacité des attaquants à déjouer les mesures de protection est un indice plus important. Lorsque les attaquants organisent une attaque DDoS de niveau 7, comme des attaques HTTP GET/POST flood, ils ne cherchent pas à inonder les canaux du réseau mais bien à épuiser les ressources du serveur. D’après Incapsula, si une attaque de ce genre n’est pas bloquée, il suffira de 50 à 100 requêtes malveillantes par seconde pour mettre hors service le site type d’une petite entreprise hébergé sur un serveur dédié.

L’utilisation de services de navigation anonyme permet à l’individu malintentionné d’organiser une attaque DDoS efficace sans efforts particuliers. Il a besoin seulement d’un ordinateur (le sien ou celui d’une autre personne), d’une boîte à outils DoS ou d’un script qu’il crée lui-même et qui remplit les mêmes fonctions ainsi que d’une liste de serveurs proxy accessibles au public qu’il obtiendra prête à l’emploi ou qu’il composera lui-même à l’aide d’un des nombreux scripts spéciaux disponibles sur le marché noir.

L’existence d’un nombre important d’assistants sous la forme de proxy ouverts lui permet de transformer le flux de requêtes visant à provoquer un déni de service en un attaque DoS distribuée ou DDoS. Les experts ont baptisé ce type d’attaque "Shotgun DDoS" (DDoS à la chevrotine), même si à la différence des projectiles d’un tir à la chevrotine qui partent dans tous les sens, les requêtes envoyées dans le cadre de l’attaque DDoS atteignent toutes la même cible.

Globalement, l’utilisation d’un proxy offre les avantages suivants à l’attaquant :

  • simplicité d’utilisation ;
  • dissimulation de la source IP ;
  • contournement de la protection par ACL car le contrôle des d’accès n’est efficace que dans le cadre de sources uniques de DoS dont le comportement est facilement prévisible ;
  • contournement de la protection par listes noires régionales que certaines organisations utilisent pour bloquer des groupes de sources d’où proviennent peu de requêtes ;
  • obfuscation des en-têtes HTTP (le proxy y intègre de subtiles modifications et en cas d’utilisation massive, celles-ci mettent les bots malveillants à l’abri de la détection sur la base de signatures).

Selon les informations d’Incapsula, la protection contre les attaques de type Shotgun DDoS n’est pas simple à mettre en place et requiert une surveillance constante du trafic entrant afin d’identifier tout comportement inhabituel de la source ainsi qu’un suivi continu de la réputation de l’IP sur une grande plage potentielle. De plus, les services de navigation anonyme sont constamment renouvelés, de nouveaux proxy apparaissent selon une fréquence élevée et les anciens serveurs sont mis hors service.

http://www.incapsula.com/blog/shotgun-ddos-anonymous-proxy.html

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *