Rapport de Prolexic sur le IIe trimestre : attaques DDoS de plus en plus puissantes

D'après les données de la société Prolexic Technologies, spécialisée dans la protection contre les attaques DDoS, le nombre d'attaques DDoS contre ses clients entre avril et juin a augmenté de 20 %. La puissance moyenne de ces attaques a atteint 49,24 Gbits/s, soit 925 % de plus qu'il y a un an. Un deuxième indicateur important pour trafic parasite est la vitesse de transfert des paquets (pps) : elle a enregistré une progression de 1 655% en un an pour atteindre 47,4 millions de paquets par seconde. La durée moyenne des attaques DDoS a augmenté de 10 % sur le trimestre. La croissance annuelle est de 123 %.

Les modifications trimestrielles et annuelles enregistrées par Prolexic sont les suivantes :

Comparaison par rapport au IIe trimestre 2012

  • Le nombre total d'incidents a augmenté de 33,8 %.
  • La puissance moyenne des attaques DDoS a augmenté de 925 %.
  • Le nombre moyen de paquets transmis par seconde a augmenté de 1 655 %.
  • La durée moyenne d'une attaque a augmenté de 123,5 % et est passée de 17 à 38 heures.
  • Le nombre d'attaques au niveau réseau (3 et 4) a augmenté de 23,2 %, tandis que le nombre d'attaques au niveau applicatif a augmenté de 79,4 %.

Comparaison par rapport au Ier trimestre 2013

  • Le nombre d'incidents a augmenté de 20%.
  • La puissance moyenne des attaques a augmenté de 2 % et est passée de l'ancienne valeur record de 48,25  à 49,24 Gbits/s.
  • L'indicateur pps moyen a augmenté de 46,3 % pour passer de 32,4 millions à 47,4 millions de paquets par seconde.
  • La durée moyenne d'une attaque a augmenté de 10 % et est passée de 34,5 à 38 heures.
  • Le nombre d'attaques a augmenté de 17,4 % au niveau du réseau et de 28,9 % au niveau 7.

Entre avril et juin, tout comme lors du trimestre précédent, la majorité des attaques DDoS déjouées par Prolexic utilisait les protocoles de niveau 3 et 4. 74,7 % des incidents enregistrés au cours de la période couverte par le rapport appartenait à cette catégorie. Au niveau des techniques employées, les individus malintentionnés préfèrent la méthode SYN flood (31,2 % des attaques). Sa popularité a d'ailleurs sensiblement augmenté en deux ans. La méthode HTTP GET est le deuxième favori, d'après les données de la société. Elle intervient dans les attaques de niveau applicatif prises en charge normalement par des outils commercialisés tels que Optima Darkness et Black Energy. HTTP GET met hors service l'application attaquée et imite un trafic légitime qui requiert des moyens de protection complémentaires. ICMP flood et UDP flood sont également fréquents (15,2 et 10,4 % respectivement), mais ces deux méthodes reculent peu à peu, surtout la première.

Le nombre d'attaques DNS, qu'il s'agisse d'attaques de type flood ou d'attaques DNS par réflexion (DNS reflection), a augmenté de 5,5 % ; ces attaques ont représenté 7,25 % des incidents enregistrés au deuxième trimestre. Les attaques DNS par réflexion et autres types d'attaques avec effet de levier (DrDOS) sont de plus en plus souvent utilisées car elles offrent aux individus malintentionnés un niveau d'obfuscation complémentaire et utilisent des maillons intermédiaires, à savoir des serveurs et des périphériques vulnérables, qui sont nombreux sur Internet. En remplaçant l'adresse de la source de la requête par l'adresse de la cible, les auteurs de l'attaque exploitent ces assistants involontaires afin de diriger un flux puissant de paquets de réponse vers la cible souhaitée.

Plus de la moitié des attaques DDoS déjouées par Prolexic sur l'ensemble du trimestre affichait une puissance de 5 Gbits/s. Près de 17 % ont atteint 60 Gbits/s. Une puissance élevée témoigne d'une organisation efficace et d'un solide budget : tout semble indiquer que les auteurs des attaques disposent de ressources considérables. Au niveau du pps, près de 28 % des attaques ont atteint plus de 40 millions de paquets/s. 26 % ont enregistré un flux inférieur à 1 million (en général, il s'agissait d'attaques de niveau applicatif). Les cibles principales de ces attaques ont été des institutions financières, mais les rangs des victimes comptent également de grands magasins, des instituts médicaux, des sociétés high-tech, des médias, des agences de voyage et des opérateurs de téléphonie. Le mois le plus "fertile" aura été le mois d'avril : 39,7 % des attaques déjouées par Prolexic sur l'ensemble du trimestre ont été enregistrées au cours de ce mois. La deuxième décade d'avril a été particulièrement mouvementée. Au cours de cette période, les individus malintentionnés se sont concentré sur le secteur financier et ont largement utilisé l'outil de script itsoknoproblembro.   

D'après les données de Prolexic, la Chine demeure la source principale d'attaques DDoS avec 39,1 %. Elle est suivie dans ce triste classement par le Mexique (27,3 %) qui fait ainsi une entrée remarquée dans le Top 10. Viennent ensuite, par ordre décroissant, la Russie (7,6 %), la France (6,5 %) et les Etats-Unis (4,1 %). L'Allemagne a quitté le Top 10 alors qu'elle occupait la 3e position au trimestre précédent.

Pour conclure ce rapport, les experts de la société se penchent sur l'attaque DDoS la plus puissante qu'ils ont jamais dû repousser. Cette attaque DDoS a été menée à la fin du mois de mai contre un des services financiers qui ont adopté les services de Prolexic.

Les individus malintentionnés avaient opté pour une attaque DNS par réflexion (DNS reflection) et la puissance de celle-ci a atteint une pointe de 167 Gbits/s. Selon les données de Prolexic, 92 % des sources de ce trafic DDoS étaient des serveurs DNS mal configurés (résolveurs ouverts), dont le total fut égal à 460.  Cet incident marquant fut neutralisé en 5 minutes sans aucun impact sur le fonctionnement du service Web attaqué. Toutefois 784 autres victimes furent impliquées malgré elles dans cet incident, principalement des hôtes aux Etats-Unis et en Chine.

Comme nous pouvons le voir, aucune attaque de 200 Gbits/s n'a été enregistrée au deuxième trimestre, même si le chiffre de 167 Gbits/s demeure impressionnant. D'après les experts, le fait que l'attaque la plus puissante ait été une attaque DNS par réflexion n'est pas une coïncidence. Les individus malintentionnés cherchent à retirer le maximum de leurs efforts et Prolexic estime qu'au cours des prochains mois, les techniques de renforcement du trafic DDoS ne vont pas disparaître. Pour l'instant les auteurs des attaques n'ont pas encore appris à signer leur requête DNS avec des certificats publics, toutefois les experts remarquent qu'au fil de l'introduction de DNSSEC, le protocole UDP dans sa forme actuelle va être de moins en moins utilisé. Ceci étant dit, les attaques par effet de levier ne vont pas disparaître tant que des protocoles dépassés et vulnérables comme SNMP, NTP et CHARGEN seront toujours utilisés sur Internet.

Average Packet-Per-Second and Attack Bandwidth Rates Rise http://www.prolexic.com/news-events-pr-significant-increases-in-average-attack-bandwith-and-packet-per-second-rates-q2-2013-report.html

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *