Le Retour du DDoS

Ces dernières semaines ont montrées une recrudescence des attaques DDoS (Distributed Denial of Service), que ce soit vers OVH [1], l’opérateur DNS Dyn [2] ou encore le Liberia [3].
Le principe d’une attaque DDoS : rendre un service/site Internet injoignable, en utilisant un ensemble de machines (d’où le terme « Distributed »), les motivations des attaquants varient selon le cas : financières (via demande de rançon, exemple le DDoS ProtonMail [4]), politiques (exemple, les Anonymous [5]) ou encore la vengeance (exemple DDoS Dyn [2]).

L’augmentation de ces attaques ces dernières années (+82% en volume sur un an d’après Verisign [6]) montre une facilité de plus en plus grande à pouvoir déclencher ce type d’action, grâce notamment à des « offres de services » disponibles sur Internet, permettant de louer des BotNet [7] (les dernières attaques semblent avoir été généré à partir de plus de 100 000 objets connectés piratés, notamment des caméras IP contaminé par le malware Mirai [8]).

Techniquement, la plupart des attaques DDoS reposent sur 3 vecteurs d’attaques, dont le « mélange » est généralement modifié au fur et à mesure que des contre-mesures sont mises en place.

1) Attaque Volumétrique Comme son nom l’indique, le but est ici de submerger la connexion Internet de la cible (dans le cadre du dernier DDoS d’OVH, plus d’1Tb/s de volume ont été générés).
Certaines de ces attaques sont simples (UDP Flood par exemple), mais des techniques bien plus évolués, basé sur des notions de « Réflexions » et « d’Amplifications » permettent de multiplier la force de frappe de l’attaquant. Ainsi en forgeant des requêtes DNS ou NTP (merci le mode non-connecté d’UDP), avec l’IP source de la victime, on va pouvoir faire pleuvoir sur la cible des millions de réponses qui pèsent bien plus « lourd » que les requêtes !

2) Attaques Protocolaires Il s’agit ici de s’attaquer aux ressources des équipements réseaux (routeurs, pare-feux…) ou serveurs distants, par exemple en submergeant la cible de connexion TCP semi-ouverte (SYN Flood) ou en exploitant des faiblesses protocolaires (fragmentation IP, petites fenêtres TCP, messages ICMP atypiques [9]…), le but est ici d’écrouler un ou plusieurs équipements actifs, en saturant leur capacité de traitement (mémoire, CPU…).

3) Attaques Applicatives Ici, la cible est la couche applicative (HTTP, SQL…), et l’attaque nécessite une préparation plus grande que les méthodes précédentes, car il faut analyser comment fonctionne l’application cible. Par exemple, si un formulaire Web fait appel à une requête SQL dont le traitement prend beaucoup de ressources coté serveurs, il peut être très rentable de submerger ce formulaire avec des centaines de requêtes, afin de complétement saturer la base de données (ce type d’action nécessite finalement très peu de ressources coté attaquant). A noter que le protocole HTTP dispose de nombreux vecteurs d’attaques (exemple de « slowloris » [10]), ce qui en fait une cible de choix.

Au vu de la multitude des moyens d’attaques, il semble évident que la solution de défense ne peut pas se réduire en l’achat d’un pare-feu, aussi perfectionné soit-il !

En effet, combien de sociétés peuvent « tenir » face à une attaque volumétrique générant plus d’1Tb/s de trafic ??

La réponse doit donc être un ensemble de mesures de sécurité, afin de contrer les différents types attaques :

  • Un contrat de service avec un opérateur Anti-DDoS, capable de prendre en charge les attaques volumétriques (via annonces BGP par exemple) puis de nettoyer votre trafic avant de vous le router.

  • Des équipements dédiés pour gérer les attaques protocolaires, capable de traiter un nombre conséquents de connexions.

  • Des reverses proxy (Web Application Firewall dans le cas du HTTP), pour contrer les attaques applicatives.

La possibilité de louer des offres « clé en main » pour lancer des attaques DDoS, abaisse fortement les pré-requis techniques, et donc laisse à penser que ce type d’attaque va continuer d’augmenter dans les mois à venir.

De plus avec la mode du « Cloud », la dépendance des sociétés vis-à-vis de leur accès à Internet devient critique (Office365, Salesforce, Google Apps…) ce qui peut motiver un certain nombre de cybercriminels à lancer des attaques DDoS afin d’extorquer une rançon auprès de leur cible…

[1] : http://www.zdnet.fr/actualites/ovh-noye-par-une-attaque-ddos-sans-precedent-39842490.htm

[2] : http://www.silicon.fr/botnet-mirai-gamer-mecontent-attaque-dyn-162973.html

[3] : https://mashable.france24.com/monde/20161104-attaque-ddos-internet-liberia

[4] : http://www.zdnet.fr/actualites/protonmail-cede-au-chantage-pour-faire-cesser-une-attaque-ddos-39827816.htm

[5] : http://www.francetvinfo.fr/sciences/deni-de-service-comment-les-anonymous-font-craquer-leurs-cibles_1608809.html

[6] : https://www.verisign.com/assets/infographic-ddos-trends-Q32016.pdf

[7] : https://blog.radware.com/security/2016/05/cyber-attack-market-place/

[8] : https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/mirai-botnet/

[9] : https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/blacknurse/

[10] : https://fr.wikipedia.org/wiki/Slowloris