Infos

Quand les défenseurs deviennent les agresseurs

La semaine dernière, la société Incapsula, spécialisée dans la protection dans le Cloud contre les attaques DDoS, a réussi à repousser une attaque DNS Flood d’envergure dont le pic a atteint près de 25 millions de paquets par seconde (Mpps). Pour pouvoir générer un tel flux, les attaquants ont utilisé la puissance d’autres services de lutte contre les attaques DDoS.

Dans la mesure où les requêtes DNS non sollicitées arrivaient sans substitution de l’adresse IP de l’expéditeur, les experts ont pu rapidement définir l’identité de la source du trafic DDoS. Il s’agissait des serveurs de collègues canadiens et chinois d’Incapsula qui bombardaient la cible dans le réseau protégé à hauteur de 1,5 milliard de requêtes par minute. Ainsi, au cours des 7 heures qu’a duré l’attaque, le client d’Incapsula a reçu un total de 630 milliards de requêtes.

Après avoir reçu une notification d’Incapsula, les deux prestataires de services ont reconnu l’attaque et ont bloqué les coupables. D’après les experts, l’utilisation détournée de solutions de protection n’est pas une nouveauté mais c’est la première fois qu’ils sont confrontés à un cas d’utilisation de serveurs de vérification du trafic pour mener une attaque DDoS d’envergure. Comme l’explique Igal Zeifman, chargé de la promotion des produits d’Incapsula : »Les services de protection contre les attaques DDoS, situés à proximité de la dorsale Internet et dotés de grands canaux sont créés en pensant à une lourde charge de trafic. Ces possibilités associées au fait que de nombreux vendeurs s’inquiètent plus de ce qui entre plutôt que de ce qui sort répondent parfaitement aux besoins des pirates qui peuvent organiser de puissantes attaques DDoS sans efforts. »

L’expert signale que si la puissance des ressources d’origine de l’attaque est adéquate, l’attaque DNS flood peut être particulièrement efficace et destructrice. A la différence des attaques DNS avec amplification asymétriques qui inondent les canaux d’un grand nombre de paquets UDP, les attaques DNS flood visent à épuiser les ressources serveurs à l’aide d’un flux ininterrompu de paquet de taille normale. Ils sont créés par des scripts installés sur plusieurs ordinateurs compromis. Dans la mesure où ces requêtes DNS non sollicitées ressemblent à des requêtes légitimes, il est impossible de les bloquer avant leur traitement individuel au niveau du serveur. De son côté, l’attaque DNS par amplification peut être facilement bloquée à l’aide de filtres externes, par exemple des filtres qui bloquent toutes les réponses DNS non sollicitées sur le port 53 (pour rappel, l’attaque DNS par amplification suppose la substitution de l’adresse IP de l’expéditeur des requêtes).

Le service UltraDNS du bureau d’enregistrement américain de domaines Neustar et PointDNS le fournisseur d’outils de développement des applications Internet Copper.io avaient été exposés un peu plus tôt à des attaques flood similaires. Incapsula évoque également d’autres messages relatifs à des attaques DNS flood issues de « différents endroits » et plusieurs attaques DDoS puissantes contre sa propre infrastructure. Selon les experts, ce déluge d’attaques d’un même genre traduit une nouvelle tendance qui expose « même les infrastructures réseau les mieux protégées ».

Les exemples sont tirés des résultats de la surveillance des attaques DNS DDoS fournis dans le blog d’Incapsula.

Incapsula

Quand les défenseurs deviennent les agresseurs

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception