NexusGuard a livré son analyse de l’écosystème des attaques DDoS au troisième trimestre 2018 dans son DDoS Threat Report. Selon le rapport, 65,5% des attaques de type DDoS ciblaient les fournisseurs de services de communication au troisième trimestre de 2018. Il montre également que les attaques par amplification SSDP (Simple Service Discovery Protocol) ont augmenté de 639,8% par rapport au deuxième trimestre 2018 en raison du nouveau modèle ciblant les fournisseurs de services de communication.
Envoyé par NexusGuard
Au fur et à mesure de l'évolution des tactiques d'attaque DDoS, les fournisseurs de services de communication (FSC) au niveau de l'ASN sont confrontés à un nouveau défi posé par des attaques volumétriques diffuses et furtives conçues pour échapper à la détection. La nouvelle tactique ressemble à la façon dont les troupes mongols ont exécuté des batailles il y a environ 700 ans. Comme les Mongols, les auteurs d’aujourd’hui étudient en profondeur le paysage ciblé avant de lancer leurs attaques.
En effectuant une reconnaissance préalable pour collecter secrètement des informations, les attaquants peuvent identifier des préfixes IP critiques. Tandis que par le passé, les attaquants avaient tendance à cibler un petit nombre d'adresses IP à fort trafic afin de provoquer un encombrement. Cette tactique sophistiquée laisse penser que de telles informations pourraient provenir d’initiés connaissant les préfixes IP les plus vulnérables aux attaques DDoS.
En effectuant une reconnaissance préalable pour collecter secrètement des informations, les attaquants peuvent identifier des préfixes IP critiques. Tandis que par le passé, les attaquants avaient tendance à cibler un petit nombre d'adresses IP à fort trafic afin de provoquer un encombrement. Cette tactique sophistiquée laisse penser que de telles informations pourraient provenir d’initiés connaissant les préfixes IP les plus vulnérables aux attaques DDoS.
Trafic indésirable détournant le trafic légitime
Envoyé par NexusGuard
Comme les guerriers mongols qui utilisaient des boucliers humains, les auteurs d’aujourd’hui utilisent également des subterfuges pour détourner et perturber les défenses. Au troisième trimestre, nous avons observé des attaques dans lesquelles des auteurs ont injecté de petits morceaux de bric-à-brac dans le trafic légitime comme un déguisement. Par conséquent, le trafic d’attaque dans l’espace de chaque adresse IP était suffisamment petit pour contourner la détection, mais suffisamment important pour paralyser le site ciblé, voire un réseau FSC (fournisseurs de services de communication) complet, une fois le trafic convergé.
En raison de la taille négligeable des fichiers indésirables, les périphériques de sécurité classiques déployés par les FSC de niveau ASN ne sont pas en mesure de détecter et d’atténuer le trafic avant qu’il ne puisse causer de dommages. En effet, les seuils de détection sont largement basés sur le volume de trafic allant vers les adresses IP de destination.
En raison de la taille négligeable des fichiers indésirables, les périphériques de sécurité classiques déployés par les FSC de niveau ASN ne sont pas en mesure de détecter et d’atténuer le trafic avant qu’il ne puisse causer de dommages. En effet, les seuils de détection sont largement basés sur le volume de trafic allant vers les adresses IP de destination.
Ce modèle exploite les grandes surfaces d’attaque des FSC de niveau ASN, tandis que les attaques traditionnelles ciblent une ou plusieurs adresses IP servant des services essentiels tels que des sites Web et des serveurs de messagerie, et submergent la cible en envoyant de nombreux déchets. Comme le pic de trafic est important et que l’attaque est évidente, il est relativement facile de détecter des anomalies et d’atténuer les attaques volumétriques traditionnelles. Dans la plupart des cas, les FAI dotés de capacités d'équilibrage de charge absorberont une grande partie de l'impact - même si ce n'est pas à 100% - d'attaques volumétriques importantes au moment où elles atteignent leur destination.
Dans l'exemple présenté ici, les attaques orchestrées ne généraient que 33,2 Mo / s par IP de destination, suffisamment petit pour passer inaperçu au radar et être confondu avec un trafic légitime acheminé directement vers l'ASN de destination.
Au troisième trimestre, Nexusguard a constaté que 159 ASN ou 527 réseaux de classe C avaient été la cible d'attaques successives. Les chiffres révèlent que la campagne était significative et que les attaques étaient bien plus sophistiquées que les attaques classiques au niveau de la couche réseau.
Observations clés
La taille maximale des attaques a augmenté de 139,84% sur un an et est passé à 118 Gbps, mais elle a diminué de 67,13% en glissement trimestriel. La taille moyenne a diminué de 81,97% sur un an et de 96,31% en glissement trimestriel. Alors que les menaces s’éloignaient du sommet de la Coupe du monde de l’été dernier, le nombre total d’attaques a diminué de 45,25% sur un an et de 50,92% pour le trimestre.
Un nouveau développement : les réseaux FSC, en particulier ceux de l’ASN, ont été frappés par une nouvelle attaque volumétrique furtive au cours de laquelle des attaquants contaminent le trafic légitime à travers des centaines de préfixes IP (environ 159 ASN, couvrant 527 réseaux de classe C d’après les conclusions de Nexusguard) avec des déchets de petites tailles afin de contourner la détection. En conséquence, les tailles d'attaque maximale et moyenne ont diminué de manière mesurable en glissement annuel.
Selon le vecteur d’attaque, le nombre d’attaques d’inondations SSDP (Simple Service Discovery Protocol) a a considérablement augmenté, avec une multiplication par six par rapport au trimestre précédent (plus de 120% en glissement annuel). Nexusguard pense que l’augmentation non conventionnelle de l’amplification SSDP est le résultat du nouveau modèle d’attaque ciblant les FSC. Cette tendance a également entraîné une réduction de la taille moyenne des attaques par IP à 0,972 Gbps au troisième trimestre.
Parmi les autres conclusions du rapport, on note que la Chine a progressé à la pointe des attaques mondiales, contribuant à plus de 23% des campagnes mondiales. 15% des attaques ont pour origine les États-Unis. La France vient en cinquième position avec 4,
Source : rapport