Quand les défenseurs deviennent les agresseurs

La semaine dernière, la société Incapsula, spécialisée dans la protection dans le Cloud contre les attaques DDoS, a réussi à repousser une attaque DNS Flood d’envergure dont le pic a atteint près de 25 millions de paquets par seconde (Mpps). Pour pouvoir générer un tel flux, les attaquants ont utilisé la puissance d’autres services de lutte contre les attaques DDoS.

Dans la mesure où les requêtes DNS non sollicitées arrivaient sans substitution de l’adresse IP de l’expéditeur, les experts ont pu rapidement définir l’identité de la source du trafic DDoS. Il s’agissait des serveurs de collègues canadiens et chinois d’Incapsula qui bombardaient la cible dans le réseau protégé à hauteur de 1,5 milliard de requêtes par minute. Ainsi, au cours des 7 heures qu’a duré l’attaque, le client d’Incapsula a reçu un total de 630 milliards de requêtes.

Après avoir reçu une notification d’Incapsula, les deux prestataires de services ont reconnu l’attaque et ont bloqué les coupables. D’après les experts, l’utilisation détournée de solutions de protection n’est pas une nouveauté mais c’est la première fois qu’ils sont confrontés à un cas d’utilisation de serveurs de vérification du trafic pour mener une attaque DDoS d’envergure. Comme l’explique Igal Zeifman, chargé de la promotion des produits d’Incapsula : »Les services de protection contre les attaques DDoS, situés à proximité de la dorsale Internet et dotés de grands canaux sont créés en pensant à une lourde charge de trafic. Ces possibilités associées au fait que de nombreux vendeurs s’inquiètent plus de ce qui entre plutôt que de ce qui sort répondent parfaitement aux besoins des pirates qui peuvent organiser de puissantes attaques DDoS sans efforts. »

L’expert signale que si la puissance des ressources d’origine de l’attaque est adéquate, l’attaque DNS flood peut être particulièrement efficace et destructrice. A la différence des attaques DNS avec amplification asymétriques qui inondent les canaux d’un grand nombre de paquets UDP, les attaques DNS flood visent à épuiser les ressources serveurs à l’aide d’un flux ininterrompu de paquet de taille normale. Ils sont créés par des scripts installés sur plusieurs ordinateurs compromis. Dans la mesure où ces requêtes DNS non sollicitées ressemblent à des requêtes légitimes, il est impossible de les bloquer avant leur traitement individuel au niveau du serveur. De son côté, l’attaque DNS par amplification peut être facilement bloquée à l’aide de filtres externes, par exemple des filtres qui bloquent toutes les réponses DNS non sollicitées sur le port 53 (pour rappel, l’attaque DNS par amplification suppose la substitution de l’adresse IP de l’expéditeur des requêtes).

Le service UltraDNS du bureau d’enregistrement américain de domaines Neustar et PointDNS le fournisseur d’outils de développement des applications Internet Copper.io avaient été exposés un peu plus tôt à des attaques flood similaires. Incapsula évoque également d’autres messages relatifs à des attaques DNS flood issues de « différents endroits » et plusieurs attaques DDoS puissantes contre sa propre infrastructure. Selon les experts, ce déluge d’attaques d’un même genre traduit une nouvelle tendance qui expose « même les infrastructures réseau les mieux protégées ».

Les exemples sont tirés des résultats de la surveillance des attaques DNS DDoS fournis dans le blog d’Incapsula.

Incapsula

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *