Les attaques DDoS étaient historiquement à la fois massives et durables, car il fallait qu’une attaque se déroule sur un laps de temps assez long pour être efficace. On observe aujourd’hui de nouvelles stratégies, basées sur des attaques beaucoup plus courtes qui ont la faculté de leurrer un certain nombre de dispositifs de défense.

En effet, de nombreuses solutions de mitigation s’appuient sur une observation prolongée du trafic sous attaques, puis sur la mise en œuvre, plus ou moins longue, de solutions de remédiation. Ces dispositifs sont efficaces contre des attaques durables, mais beaucoup moins contre des agressions plus éphémères, qui, au moment où le dispositif de défense est en place, ont cessé … pour reprendre de plus belle ultérieurement.

Les cybercriminels ont donc imaginé, dans un premier temps, de diminuer fortement la durée des attaques pour les réduire à quelques minutes, mais sans pour autant changer la forme des attaques, c’est-à-dire en continuant à s’appuyer sur une stratégie de saturation volumétrique continue.

Ces attaques, qui durent moins de 10 minutes, ne sont pour autant pas impossibles à arrêter car elles ont la même physionomie que les attaques plus longues décrites précédemment. Il existe donc quelques solutions, rapidement mises en œuvre, qui savent, malgré tout, les détecter et les neutraliser.
Malheureusement, il existe aujourd’hui bien mieux en matière de DDoS, grâce à une nouvelle évolution, selon laquelle ces attaques changent radicalement de physionomie et deviennent « pulsantes », c’est-à-dire qu’elle prennent la forme de pics de trafic de très forte amplitude (plusieurs centaines de milliers de paquets) et de très courte durée (quelques secondes), qui se répètent périodiquement, sur une période de plusieurs dizaines de secondes. La totalité de l’attaque elle-même pouvant se dérouler pendant un laps de temps assez long (de quelques minutes à quelques heures). L’efficacité de cette méthode est basée notamment sur l’inertie du système visé. En effet, à chaque action très courte, les équipements sont mis hors service, et mettent un certain temps à redevenir opérationnels, l’effet de l’attaque perdure donc après qu’elle ait cessé. Il suffit de réitérer l’opération à intervalle régulier pour réussir l’attaque dans la durée.

Cette « cyber-guerilla » permet donc de déjouer bon nombre de dispositifs de protection.

Ce genre d’attaque est donc beaucoup plus difficile à bloquer puisque les méthodes de détection et de protection traditionnelles sont basées sur de l’échantillonnage, qui collectent des données à intervalle régulier sur une période de quelques secondes (ce qui permet notamment de lisser la mesure et d’éviter les faux positifs). Ceci présente l’inconvénient que les données collectées de cette manière ne seront pas représentatives de la situation, car la période d’échantillonnage ne sera pas forcément calée sur la période d’attaque. L’échantillonnage avec filtrage au-dessus d’un certain seuil sera donc inefficace la plupart du temps, car lorsque le filtrage sera déclenché, trop tard, l’attaque aura déjà cessé.

Par ailleurs, une attaque pulsante est aussi généralement tournante, c’est-à-dire que l’attaquant fait varier les sources de l’attaque d’une phase à une autre. Cela lui permet non seulement d’éviter d’utiliser les mêmes adresses de manière répétitive, mais également de solliciter les parties du botnet par zone géographique, pour optimiser la synchronisation (ce qui est important dans ce type d’attaque très précise) : blacklister les adresses IP ayant participé à la phase précédente de l’attaque ne sera donc pas efficace.
Il existe des parades contre ce type d’attaques, mais elles ne sont pas toujours totalement efficaces.

Une première idée d’amélioration consiste à garder une mémoire de ce qui s’est passé juste avant, pour pondérer la manière de réagir à l’attaque suivante, dans l’espoir d’améliorer la réponse. Mais les attaquants peuvent prévoir une période de silence suffisamment longue entre deux attaques pour déjouer ce système « à mémoire simple » de mémorisation temporaire.
Réaliser une observation plus précise est une réponse envisageable, mais avec les défauts que cela n’est pas toujours possible, que cela peut s’avérer coûteux, et que cela induit le risque de faux positifs.

La solution qui semble la plus pertinente est d’envisager de mémoriser l’analyse du trafic sur une période courte et sur une période plus longue (« Dual Memory »), et de pondérer ces valeurs entre elles. Cette combinaison s’avère efficace pour détecter et neutraliser les attaques pulsantes.

Le fonctionnement de ces attaques est détaillé de manière visuelle sur la chaîne YouTube de 6cure (https://www.youtube.com/user/6cure).