Nitol bat le record de DDoS applicative

Il y a deux semaines, l’équipe Incapsula, qui travaille au sein d’Imperva, a réussi à déjouer une puissante attaque DDoS de niveau 7 (applications) qui visait un de ses clients établi en Chine et spécialisé dans l’organisation de loterie. Cette attaque est remarquable non seulement en raison de l’impressionnante charge imposée sur les ressources de traitement (163 000 requêtes par seconde au pic de l’attaque), mais également en raison de la tentative d’encombrer également les canaux, ce qui est inhabituel dans ce genre d’incident. Lors de l’attaque, la charge sur les canaux a atteint 8,7 Gbits/s ce qui, d’après les experts, constitue un indice jamais vu pour une attaque DDoS applicative.

Dans ses commentaires relatifs à l’incident, Incapsula explique que les incidents DDoS de niveau 7 visent à épuiser les ressources serveur à l’aide d’un flux de requêtes HTTP qui vont entraîner un nombre important de tâches de traitement. Généralement, la puissance de ce genre d’attaque n’est pas très élevée mais suffit à mettre les serveurs non protégés hors service : de nombreux propriétaires d’applications Internet misent sur un maximum de 100 requêtes par seconde.

Au cours de l’année écoulée, les experts ont observé des flux de requêtes plus importants dans le cadre d’autres attaques DDoS applicatives (jusqu’à 268 800 requêtes par seconde), mais la charge sur les canaux étaient toujours faible, un peu mois de 500 Mbits/s car la taille des paquets ne dépassait pas généralement 200 octets. Ce genre d’attaque peut être facilement neutraliser à l’aide de filtres installés chez le client.

Ceci étant dit, les experts ont été confrontés, dans le cas qui nous occupe, à un problème complémentaire : une augmentation inattendue de la charge sur les canaux que la cible n’était pas en mesure d’absorber. Un volume de Gbits/s élevé est commun dans les attaques DDoS réseau et ne représente aucune surprise. Au cours de ces dernières années, Incapsula et ses collègues ont été confrontés à plusieurs reprises à des attaques réseau d’une puissance atteignant 200, 300 voir 400 Gbits/s. Autrement dit, une puissance de 8,7 Gbits/s n’a rien d’anormal, sauf lorsqu’il s’agit d’une attaque contre des applications.

Afin de comprendre comment les individus malintentionnés avaient réussi à atteindre des valeurs aussi élevées sur les deux fronts et désarçonner la protection, les experts ont analysé les requêtes POST malveillantes. Il se fait que les individus malintentionnés utilisent un script qui crée de manière aléatoire de gros fichiers et qui tente de les charger sur le serveur attaqué. Ces requêtes POST volumineuses semblent parfaitement légitimes, mais une fois que la connexion TCP a été établie, leur flux ininterrompu se transforme rapidement en une puissante attaque de type HTTP flood.

L’analyse de l’incident a établi que cette attaque DDoS est organisée à l’aide d’un réseau de zombies construit sur une version de Nitol qui, dans ce cas, tentait de se dissimuler sous les traits du robot de recherche Baidu. Lors de l’attaque, l’équipe chargée de mettre en place la défense a comptabilisé 2 700 sources IP de trafic inutile. La majorité d’entre elles se trouvait en Chine.

Comme l’expliquent les experts, dans le cadre d’une attaque applicative, le trafic ne peut être malheureusement filtré qu’après l’ouverture d’une connexion TCP, c’est-à-dire que les requêtes malveillantes pourront emprunter le canal principal du réseau sans aucune restriction. Et si ces requêtes sont volumineuses, comme c’est le cas ici, elles vont bloquer le canal vu que sa bande passante est normalement faible et aucun service complémentaire externe ne sera utile.

Incapsula signale que même si l’entreprise attaquée dispose d’une bande passante de 10 Gbits, les individus malintentionnés peuvent facilement augmenter la puissance de l’attaque via l’accélération du transfert des requêtes ou l’augmentation du nombre de bots utilisés. Et donc, la prochaine fois, la puissance atteindre 12, voire 15 Gbits/s, ou plus. Afin de pouvoir faire face à un tel flux sans aide extérieure, il faut disposer de l’infrastructure adéquate ainsi que d’un FAI solide.

De plus, les attaques contre les applications peuvent durer plusieurs jours, plusieurs semaines, voire plusieurs mois, et ce trafic supplémentaire va coûter à la victime. Ainsi, au 4e trimestre, Incapsula a enregistré une attaque DDoS de niveau 7 qui a duré plus de 100 jours.

Les experts s’attendent à ce que ce premier essai trouve vite des admirateurs et encouragent toutes les personnes concernées à réfléchir aux méthodes de protection contre ce genre d’attaque. Ils estiment que deux solutions s’offrent aux victimes potentielles : augmenter la bande passante de leurs canaux ou solliciter l’aide d’un service spécialisé capable de bloquer automatiquement les attaques de type HTTP/HTTPS flood en dehors du réseau.

Fonte: Incapsula

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *