Infos

Nitol bat le record de DDoS applicative

Il y a deux semaines, l’équipe Incapsula, qui travaille au sein d’Imperva, a réussi à déjouer une puissante attaque DDoS de niveau 7 (applications) qui visait un de ses clients établi en Chine et spécialisé dans l’organisation de loterie. Cette attaque est remarquable non seulement en raison de l’impressionnante charge imposée sur les ressources de traitement (163 000 requêtes par seconde au pic de l’attaque), mais également en raison de la tentative d’encombrer également les canaux, ce qui est inhabituel dans ce genre d’incident. Lors de l’attaque, la charge sur les canaux a atteint 8,7 Gbits/s ce qui, d’après les experts, constitue un indice jamais vu pour une attaque DDoS applicative.

Dans ses commentaires relatifs à l’incident, Incapsula explique que les incidents DDoS de niveau 7 visent à épuiser les ressources serveur à l’aide d’un flux de requêtes HTTP qui vont entraîner un nombre important de tâches de traitement. Généralement, la puissance de ce genre d’attaque n’est pas très élevée mais suffit à mettre les serveurs non protégés hors service : de nombreux propriétaires d’applications Internet misent sur un maximum de 100 requêtes par seconde.

Au cours de l’année écoulée, les experts ont observé des flux de requêtes plus importants dans le cadre d’autres attaques DDoS applicatives (jusqu’à 268 800 requêtes par seconde), mais la charge sur les canaux étaient toujours faible, un peu mois de 500 Mbits/s car la taille des paquets ne dépassait pas généralement 200 octets. Ce genre d’attaque peut être facilement neutraliser à l’aide de filtres installés chez le client.

Ceci étant dit, les experts ont été confrontés, dans le cas qui nous occupe, à un problème complémentaire : une augmentation inattendue de la charge sur les canaux que la cible n’était pas en mesure d’absorber. Un volume de Gbits/s élevé est commun dans les attaques DDoS réseau et ne représente aucune surprise. Au cours de ces dernières années, Incapsula et ses collègues ont été confrontés à plusieurs reprises à des attaques réseau d’une puissance atteignant 200, 300 voir 400 Gbits/s. Autrement dit, une puissance de 8,7 Gbits/s n’a rien d’anormal, sauf lorsqu’il s’agit d’une attaque contre des applications.

Afin de comprendre comment les individus malintentionnés avaient réussi à atteindre des valeurs aussi élevées sur les deux fronts et désarçonner la protection, les experts ont analysé les requêtes POST malveillantes. Il se fait que les individus malintentionnés utilisent un script qui crée de manière aléatoire de gros fichiers et qui tente de les charger sur le serveur attaqué. Ces requêtes POST volumineuses semblent parfaitement légitimes, mais une fois que la connexion TCP a été établie, leur flux ininterrompu se transforme rapidement en une puissante attaque de type HTTP flood.

L’analyse de l’incident a établi que cette attaque DDoS est organisée à l’aide d’un réseau de zombies construit sur une version de Nitol qui, dans ce cas, tentait de se dissimuler sous les traits du robot de recherche Baidu. Lors de l’attaque, l’équipe chargée de mettre en place la défense a comptabilisé 2 700 sources IP de trafic inutile. La majorité d’entre elles se trouvait en Chine.

Comme l’expliquent les experts, dans le cadre d’une attaque applicative, le trafic ne peut être malheureusement filtré qu’après l’ouverture d’une connexion TCP, c’est-à-dire que les requêtes malveillantes pourront emprunter le canal principal du réseau sans aucune restriction. Et si ces requêtes sont volumineuses, comme c’est le cas ici, elles vont bloquer le canal vu que sa bande passante est normalement faible et aucun service complémentaire externe ne sera utile.

Incapsula signale que même si l’entreprise attaquée dispose d’une bande passante de 10 Gbits, les individus malintentionnés peuvent facilement augmenter la puissance de l’attaque via l’accélération du transfert des requêtes ou l’augmentation du nombre de bots utilisés. Et donc, la prochaine fois, la puissance atteindre 12, voire 15 Gbits/s, ou plus. Afin de pouvoir faire face à un tel flux sans aide extérieure, il faut disposer de l’infrastructure adéquate ainsi que d’un FAI solide.

De plus, les attaques contre les applications peuvent durer plusieurs jours, plusieurs semaines, voire plusieurs mois, et ce trafic supplémentaire va coûter à la victime. Ainsi, au 4e trimestre, Incapsula a enregistré une attaque DDoS de niveau 7 qui a duré plus de 100 jours.

Les experts s’attendent à ce que ce premier essai trouve vite des admirateurs et encouragent toutes les personnes concernées à réfléchir aux méthodes de protection contre ce genre d’attaque. Ils estiment que deux solutions s’offrent aux victimes potentielles : augmenter la bande passante de leurs canaux ou solliciter l’aide d’un service spécialisé capable de bloquer automatiquement les attaques de type HTTP/HTTPS flood en dehors du réseau.

Fonte: Incapsula

Nitol bat le record de DDoS applicative

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception