Nouveau record de puissance d’une attaque DDoS

L’activité DDoS s’est renforcée au cours des derniers mois dans la région Asie-Pacifique. D’après les données fournies par les experts, les pics d’activité coïncident exactement avec les manifestations et autres événements organisés dans le cadre de la "révolution des parapluies" à Hong Kong.

Durant le mois de septembre, Arbor Networks a enregistré près de 1 700 attaquesš contre des ressources en ligne de ce district administratif de la République populaire de Chine. Le mois suivant, ce nombre d’incidents avait plus que doublé. La part des attaques DDoS puissantes a sensiblement augmenté : le volume d’attaques comprises entre 10 et 20 Gbit/s est passé de 6 à 13,1 %, tandis que celui des attaques supérieures à 20 Gbit/s est passé de 2 à 13 %. Le pic de l’activité dans le tronçon Internet correspondant à Hong Kong a été enregistré au cours de la deuxième quinzaine d’octobre, comme en témoigne l’augmentation de la norme journalière des attaques et de leur indice ; la puissance maximale enregistrée par Arbor au cours de cette période a atteint 45,6 Gbits/s. Au début du mois de novembre, les experts ont enregistré des pics de 30 Gbits/s minimum pendant quatre journées consécutives.š

A peu près à la même époque, vers le milieu du mois d’octobre, les sites de la rédaction du journal indépendant de Hong Kong Apple Daily ont été à nouveau attaqués, à l’instar du projet en ligne objectif de l’université de Hong Kong PopVote, connu pour ses tendances pro-démocratiques. Cloudflare, le fournisseur CDN qui protège ces sites contre les attaques DDoS, repoussent des attaques similaires depuis quelques mois. D’après Matthew Prince, directeur exécutif de CloudFlare, les premières attaques DDoS contre PopVote remontent au mois de juin, puis elles ont touché Apple Daily. Lors d’une de ces attaques récentes, CloudFlare a enregistré un pic historique de 500 Gbit/s. Ce chiffre a explosé le record de février établi à 400 Gbits, ainsi que celui de l’année dernière à 300 Gbits.

"Cette attaque est plus puissante que toutes les attaques que nous avons observées, et nous avons connu quelques-unes des attaques DDoS les plus puissantes de l’histoire d’Internet" a déclaré Matthew Prince dans le cadre d’une interview par téléphone accordée au magazine Forbes. En l’espace de quelques mois, les attaquants, d’après l’expert, ont amélioré leurs astuces de contournement des solutions de protection et ils ont appris à masquer efficacement les paquets non sollicités dans le trafic légitime. D’après les estimations de CloudFlare, les organisateurs d’attaques DDoS possèdent au moins 5 réseau de zombies. Certains d’entre eux sont constitués de serveurs "détournés" du Cloud d’Amazon (cette possibilité n’existe plus) ou de l’hébergeur européen LeaseWeb. Les individus malintentionnés ont organisé à plusieurs reprises des attaques contre les deux sites ainsi que des campagnes de phishing contre le personnel de PopVote.

Le problème est aggravé par le fait que les FAI, pour qui il est de plus en plus difficile d’identifier le trafic poubelle, n’adoptent pas toujours les mesures de protection adéquates. Craignant une surcharge, certains d’entre eux comme Virgin Media en Angleterre, ont tout simplement bloqué toutes les requêtes vers les sites attaqués, ce qui favorise l’action des auteurs des attaques. "C’est une pratique qui ne se justifie pas. Bien que l’infrastructure de PopVote et nos mesures de protection sont en mesure de résister à l’assaut, il y aura toujours des fournisseurs qui décideront tout simplement de bloquer l’accès au site."

La campagne DDoS actuelle pourrait facilement s’expliquer par la réaction du gouvernement chinois face au mouvement de protestation qui secoue Hong Kong. Toutefois, le directeur de CloudFare n’est pas convaincu que l’explication se trouve de ce côté. En effet, l’expert rappelle que l’attaque de 300 Gbits/s menée l’année dernière contre Spamhaus avait été organisée, d’après les données les plus récentes, par un écolier agissant seul. Matthew Prince précise : "On peut juste affirmer que les auteurs de l’attaque ne sont pas favorables au mouvement démocratique à Hong Kong. Toutefois, cela ne signifie pas obligatoirement que l’auteur est le gouvernement chinois. L’attaque peut émaner d’un particulier ou d’une personne qui souhaite incriminer le gouvernement chinois."

La journaliste de Forbes n’aborde pratiquement pas la partie technique des attaques DDoS. Elle mentionne toutefois les résolveurs DNS qui, comme on le sait, sont utilisés dans le cadre d’attaque par amplification et réflexion du trafic (DrDos, DDoS avec levier DNS). La journaliste cite également le directeur de CloudFlare quand elle signale que les "attaquants utilisent l’infrastructure DNS d’Internet" et qu’ils exploitent un "réseau d’ordinateurs et de serveurs infectés" pour créer un "flux de fausses requêtes adressées aux sites de Hong Kong". "Nous enregistrons plus de 250 millions de requêtes DNS par seconde ce qui est certainement comparable à la norme des requêtes DNS pour l’ensemble d’Internet" a déclaré Matthew Prince à Forbes.

CloudFlare a réussi à contacter certains fournisseurs d’accès Internet de Hong Kong et des régions avoisinantes afin de leur signaler que l’infrastructure DNS intervient dans cette vague d’attaques DDoS. Les experts ont également fourni des recommandations sur la manière de compliquer la tâche des auteurs des attaques DDoS en ne bloquant pas l’accès des visiteurs réguliers des sites ciblés.

http://www.forbes.com/sites/parmyolson/2014/11/20/the-largest-cyber-attack-in-history-has-been-hitting-hong-kong-sites/

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *