Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Deux tiers des attaques DDoS ciblent des fournisseurs de services de communication
La France est le 5e foyer des attaques DDoS

Le , par Stéphane le calme

176PARTAGES

13  0 
NexusGuard a livré son analyse de l’écosystème des attaques DDoS au troisième trimestre 2018 dans son DDoS Threat Report. Selon le rapport, 65,5% des attaques de type DDoS ciblaient les fournisseurs de services de communication au troisième trimestre de 2018. Il montre également que les attaques par amplification SSDP (Simple Service Discovery Protocol) ont augmenté de 639,8% par rapport au deuxième trimestre 2018 en raison du nouveau modèle ciblant les fournisseurs de services de communication.

Citation Envoyé par NexusGuard
Au fur et à mesure de l'évolution des tactiques d'attaque DDoS, les fournisseurs de services de communication (FSC) au niveau de l'ASN sont confrontés à un nouveau défi posé par des attaques volumétriques diffuses et furtives conçues pour échapper à la détection. La nouvelle tactique ressemble à la façon dont les troupes mongols ont exécuté des batailles il y a environ 700 ans. Comme les Mongols, les auteurs d’aujourd’hui étudient en profondeur le paysage ciblé avant de lancer leurs attaques.

En effectuant une reconnaissance préalable pour collecter secrètement des informations, les attaquants peuvent identifier des préfixes IP critiques. Tandis que par le passé, les attaquants avaient tendance à cibler un petit nombre d'adresses IP à fort trafic afin de provoquer un encombrement. Cette tactique sophistiquée laisse penser que de telles informations pourraient provenir d’initiés connaissant les préfixes IP les plus vulnérables aux attaques DDoS.
Pour rappel, la tactique militaire mongole a permis à l'empire Mongol de conquérir presque toute l'Asie continentale, le Moyen-Orient et certaines parties de l'Europe orientale au cours des XIIIe et XIVe siècles. Très agiles et mobiles, les soldats mongols à cheval étaient souvent envoyés en mission de surveillance pour recueillir des renseignements sur les itinéraires et rechercher le terrain le mieux adapté à leur tactique de combat préférée.

Trafic indésirable détournant le trafic légitime

Citation Envoyé par NexusGuard
Comme les guerriers mongols qui utilisaient des boucliers humains, les auteurs d’aujourd’hui utilisent également des subterfuges pour détourner et perturber les défenses. Au troisième trimestre, nous avons observé des attaques dans lesquelles des auteurs ont injecté de petits morceaux de bric-à-brac dans le trafic légitime comme un déguisement. Par conséquent, le trafic d’attaque dans l’espace de chaque adresse IP était suffisamment petit pour contourner la détection, mais suffisamment important pour paralyser le site ciblé, voire un réseau FSC (fournisseurs de services de communication) complet, une fois le trafic convergé.

En raison de la taille négligeable des fichiers indésirables, les périphériques de sécurité classiques déployés par les FSC de niveau ASN ne sont pas en mesure de détecter et d’atténuer le trafic avant qu’il ne puisse causer de dommages. En effet, les seuils de détection sont largement basés sur le volume de trafic allant vers les adresses IP de destination.
Quelle est la différence entre ce modèle et les attaques volumétriques traditionnelles de la couche réseau ?

Ce modèle exploite les grandes surfaces d’attaque des FSC de niveau ASN, tandis que les attaques traditionnelles ciblent une ou plusieurs adresses IP servant des services essentiels tels que des sites Web et des serveurs de messagerie, et submergent la cible en envoyant de nombreux déchets. Comme le pic de trafic est important et que l’attaque est évidente, il est relativement facile de détecter des anomalies et d’atténuer les attaques volumétriques traditionnelles. Dans la plupart des cas, les FAI dotés de capacités d'équilibrage de charge absorberont une grande partie de l'impact - même si ce n'est pas à 100% - d'attaques volumétriques importantes au moment où elles atteignent leur destination.


Dans l'exemple présenté ici, les attaques orchestrées ne généraient que 33,2 Mo / s par IP de destination, suffisamment petit pour passer inaperçu au radar et être confondu avec un trafic légitime acheminé directement vers l'ASN de destination.

Au troisième trimestre, Nexusguard a constaté que 159 ASN ou 527 réseaux de classe C avaient été la cible d'attaques successives. Les chiffres révèlent que la campagne était significative et que les attaques étaient bien plus sophistiquées que les attaques classiques au niveau de la couche réseau.

Observations clés

La taille maximale des attaques a augmenté de 139,84% sur un an et est passé à 118 Gbps, mais elle a diminué de 67,13% en glissement trimestriel. La taille moyenne a diminué de 81,97% sur un an et de 96,31% en glissement trimestriel. Alors que les menaces s’éloignaient du sommet de la Coupe du monde de l’été dernier, le nombre total d’attaques a diminué de 45,25% sur un an et de 50,92% pour le trimestre.


Un nouveau développement : les réseaux FSC, en particulier ceux de l’ASN, ont été frappés par une nouvelle attaque volumétrique furtive au cours de laquelle des attaquants contaminent le trafic légitime à travers des centaines de préfixes IP (environ 159 ASN, couvrant 527 réseaux de classe C d’après les conclusions de Nexusguard) avec des déchets de petites tailles afin de contourner la détection. En conséquence, les tailles d'attaque maximale et moyenne ont diminué de manière mesurable en glissement annuel.

Selon le vecteur d’attaque, le nombre d’attaques d’inondations SSDP (Simple Service Discovery Protocol) a a considérablement augmenté, avec une multiplication par six par rapport au trimestre précédent (plus de 120% en glissement annuel). Nexusguard pense que l’augmentation non conventionnelle de l’amplification SSDP est le résultat du nouveau modèle d’attaque ciblant les FSC. Cette tendance a également entraîné une réduction de la taille moyenne des attaques par IP à 0,972 Gbps au troisième trimestre.


Parmi les autres conclusions du rapport, on note que la Chine a progressé à la pointe des attaques mondiales, contribuant à plus de 23% des campagnes mondiales. 15% des attaques ont pour origine les États-Unis. La France vient en cinquième position avec 4,

Source : rapport

Une erreur dans cette actualité ? Signalez-le nous !

Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web