Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Comment garder son calme et neutraliser une attaque DDoS à 470 Gbit/s

juillet 2016 par Imperva

Le 14 juin, Imperva Incapsula a neutralisé une attaque par déni de service distribué (DDoS) à 470 gigabits par seconde (Gbit/s), la plus intense enregistrée à ce jour.

Bien que ne présentant pas l’ingéniosité des menaces DDoS que nous décrivons généralement dans notre blog, cet assaut brut franchit un nouveau palier dans l’épreuve de force sans fin qui oppose les spécialistes de la neutralisation des attaques et les cybercriminels.

Description de l’attaque

Visant une société chinoise de paris en ligne, l’attaque s’est déclenchée le juin 14 et a duré plus de quatre heures. L’entreprise avait également été la cible de plusieurs autres assauts de grande ampleur, survenant quotidiennement pendant la semaine précédant l’attaque en question.

Dès le début, cette attaque a dépassé 250 Gbit/s. Elle a ensuite progressivement monté en puissance au cours des heures suivantes, culminant à 470 Gbit/s à 19:32. Une fois ce pic atteint, le trafic d’attaque a baissé d’intensité, pour s’estomper entièrement au bout de 30 minutes.

L’assaut était très complexe en termes de couche réseau, combinant pas moins de neuf types de paquets différents. Le gros du trafic a d’abord été généré sous forme de paquets SYN, suivis de paquets UDP et TCP génériques.

De tels assauts à neuf vecteurs sont très rares selon notre expérience. C’est ainsi qu’au premier trimestre 2016, ils n’ont pas représenté plus de 0,2 % de l’ensemble des attaques DDoS sur la couche réseau contre nos clients.

Généralement les auteurs d’attaques multivecteurs ont pour objectif d’alterner entre différents types de paquets pour tenter d’échapper aux services de neutralisation. C’est ce qui s’est passé en l’occurrence lorsque, au milieu de l’assaut, les auteurs ont changé d’approche, employant des paquets de plus petite taille afin d’augmenter le débit de paquets par seconde (pps).

A la suite de ce changement, le débit de paquets a fait un bond à 17:57 pour culminer à environ 110 millions de paquets par seconde (Mpps), peu avant que l’attaque n’atteigne son paroxysme.

L’utilisation de paquets de taille réduite pour atteindre un débit de transmission de paquets extrêmement élevé est une tactique commune à de nombreuses attaques de grande ampleur que nous avons neutralisées cette année. Cette tactique permet à leurs auteurs de saturer la capacité de traitement de la génération actuelle d’appliances de neutralisation, qui est l’une de leurs faiblesses les plus courantes.

En termes quantitatifs, au 1er trimestre 2016, nous avons neutralisé une attaque supérieure à 50 Mpps tous les quatre jours et à 80 Mpps tous les huit jours. Il n’a pas été rare que ces assauts dépassent 100 Mpps.

Neutralisation de l’attaque

Avec plus de deux Tbps de capacité totale du réseau et plus de 100 Gbps de capacité disponible sur la majorité de nos 30 datacenters, la faculté d’Incapsula à neutraliser une attaque de cette taille n’a jamais été remise en question.

Le défi a consisté pour nous à neutraliser une attaque de cette intensité sans impacter les millions d’utilisateurs passant par notre réseau. Pour ce faire, notre équipe opérationnelle a réparti le trafic d’attaque entre nos 21 datacenters les plus puissants, ce qui a permis de tous les faire participer à la neutralisation tout en conservant de fortes marges de capacité.

Sur chacun de ces sites, le trafic d’attaque a été acheminé à travers nos serveurs de nettoyage BH (nom de code Behemoth), pouvant chacun traiter jusqu’à 170 Gbit/s et 100 Mpps au débit de la ligne (c’est-à-dire sans introduire de retard).

Grâce à une inspection des paquets en profondeur (DPI), le trafic malveillant a été identifié par notre algorithme de nettoyage, en fonction de facteurs tels que le type de protocole, la longueur du contenu et l’adresse IP source. En recoupant ceux-ci ainsi que quelques autres facteurs, il a été possible d’établir le profil des paquets réseau malveillants.

Après quoi, tous les paquets correspondant à ce profil ont été automatiquement filtrés avant d’atteindre le réseau de la cible. Par la suite, chaque fois que les auteurs des attaques changeaient de type de paquets, l’algorithme était réajusté de façon à identifier les nouveaux critères communs de filtrage.

La combinaison d’une gestion agile du réseau, d’un matériel aux capacités massives et de logiciels de sécurité adaptative a permis de bloquer l’assaut sans problème. Notre trafic réseau habituel n’a pas été perturbé, ni notre fonctionnement au quotidien.

Garder son calme et augmenter la taille du bateau

Nous avons vu de nombreux groupes revendiquer « la plus grande attaque DDoS à ce jour » ces dernières années. Le groupe New World Hackers, qui se vante d’avoir fait tomber le site BBC.com avec un assaut de 600 Gbit/s, en est l’exemple le plus notable.

Comme cela a été révélé plus tard, ce chiffre exagéré reflétait une nouvelle tentative de marketing FUD. Soucieux de ne pas faire de même, sur le plan technique, nous souhaitons préciser qu’il n’y a guère de différence à neutraliser des attaques de 300, 400 ou 500 Gbit/s sur la couche réseau. Il s’agit de menaces similaires, chacune étant traitée de manière similaire.

Les grandes vagues d’attaques ne sont pas plus dangereuses que les petites. Pour les essuyer avec succès, il suffit d’augmenter la taille du bateau.


Voir les articles précédents

    

Voir les articles suivants