Cloudflare a stoppé la plus grande attaque DDoS jamais signalée

Sécurité : Le système de Cloudflare a détecté et atténué une attaque DDoS de 17,2 millions de requêtes par seconde, soit une attaque trois fois plus importante que celles précédemment détectées.

Cloudflare a déclaré que son système avait réussi à stopper la plus grande attaque DDoS signalée en juillet, expliquant dans un billet de blog que l’attaque était de 17,2 millions de requêtes par seconde, soit trois fois plus que toutes les attaques précédemment enregistrées.

Omer Yoachimik, de Cloudflare, explique dans un billet de blog que l’entreprise a servi plus de 25 millions de requêtes HTTP par seconde en moyenne au deuxième trimestre 2021, ce qui illustre l’ampleur de l’attaque.

Plus de 330 millions de requêtes d’attaque en quelques secondes

Il ajoute que l’attaque a été lancée par un botnet qui visait un client de Cloudflare dans le secteur financier, et précise qu’il a réussi à frapper le bord de Cloudflare avec plus de 330 millions de requêtes d’attaque en quelques secondes.

« Le trafic de l’attaque provenait de plus de 20 000 bots, dans 125 pays du monde entier. D’après les adresses IP sources des bots, près de 15 % de l’attaque provenait d’Indonésie, et 17 % d’Inde et du Brésil combinés. Cela indique qu’il peut y avoir de nombreux appareils infectés par des logiciels malveillants dans ces pays », prévient Omer Yoachimik.

« Cette attaque de 17,2 millions de rps est la plus grande attaque DDoS HTTP que Cloudflare ait jamais vue à ce jour, et près de trois fois la taille de toute autre attaque DDoS HTTP signalée. Ce botnet spécifique a toutefois été vu au moins deux fois au cours des dernières semaines. La semaine dernière, il a également ciblé un autre client de Cloudflare, un fournisseur d’hébergement, avec une attaque DDoS HTTP qui a culminé juste en dessous de 8 millions de rps. »

Le botnet Mirai lance l’attaque

Omer Yoachimik note que deux semaines auparavant, un botnet Mirai « a lancé plus d’une douzaine d’attaques DDoS basées sur UDP et TCP qui ont atteint plusieurs fois des pics supérieurs à 1 Tb/s, avec un pic maximal d’environ 1,2 Tb/s. » Les clients de Cloudflare – dont une société de jeux et un important fournisseur de télécommunications et d’hébergement basé dans la région APAC – sont la cible d’attaques visant à la fois les services Magic Transit et Spectrum, ainsi que le service WAF/CDN.

Selon Omer Yoachimik, le botnet Mirai a généré un volume important de trafic d’attaque, malgré sa réduction à environ 28 000, après avoir commencé avec environ 30 000 bots.

« Ces attaques rejoignent l’augmentation des attaques DDoS basées sur Mirai que nous avons observées sur notre réseau au cours des dernières semaines. Rien qu’en juillet, les attaques Mirai L3/4 ont augmenté de 88 %, et les attaques L7 de 9 % », indique-t-il.

« En outre, sur la base de la moyenne actuelle des attaques Mirai par jour en août, nous pouvons nous attendre à ce que les attaques DDoS Mirai L7 et autres attaques de botnet similaires augmentent de 185 % et les attaques L3/4 de 71 % d’ici la fin du mois. »

Une attaque « significative »

Pour Tyler Shields, CMO de JupiterOne, l’attaque de 17,2 millions est « significative », et la capacité d’une attaque DDoS à atteindre un tel niveau d’épuisement de la bande passante signifie qu’il existe une importante infrastructure dorsale d’hôtes compromis ou d’hôtes qui ont été mis à l’échelle dans le seul but d’envoyer du trafic malveillant.

« La seule autre façon d’atteindre ces niveaux de bande passante est de coupler une énorme infrastructure avec une sorte de technique d’amplification des paquets. Quoi qu’il en soit, il s’agit d’une attaque significative qui n’a pas été générée par un attaquant aléatoire. Il s’agit probablement d’un groupe important, bien financé et dévoué », explique Tyler Shields à ZDNet.

Howard Ting, PDG de Cyberhaven, ajoute que les attaques DDoS sont un problème croissant et qu’il faut s’attendre à en voir davantage. Il note aussi que les botnets – comme Mirai, qui a lancé l’attaque – s’appuient fortement sur des appareils IoT compromis et d’autres appareils non gérés. « Plus le nombre de ces appareils augmente, plus l’armée potentielle pour les attaques DDoS augmente aussi », prévient-il.

Un système autonome de protection contre les attaques DDoS

Omer Yoachimik souligne que son système autonome de protection contre les attaques DDoS, qui a détecté l’attaque de 17,2 millions de requêtes, est alimenté par un démon de déni de service défini par logiciel, appelé dosd.

« Une instance unique de dosd est exécutée dans chaque serveur de chacun de nos centres de données dans le monde. Chaque instance de dosd analyse indépendamment des échantillons de trafic en dehors du chemin d’accès. L’analyse du trafic en dehors du chemin d’accès nous permet d’analyser de manière asynchrone les attaques DDoS sans provoquer de latence et sans affecter les performances », explique-t-il.

« Les résultats des attaques DDoS sont également partagés entre les différentes instances dosd d’un centre de données, ce qui constitue une forme de partage proactif des renseignements sur les menaces. Lorsqu’une attaque est détectée, nos systèmes génèrent une règle d’atténuation avec une signature en temps réel qui correspond aux modèles d’attaque. La règle est propagée à l’emplacement le plus optimal de la pile technologique. »

Source : ZDNet.com

Catégories