Les attaques applicatives sont restées majoritaires (60 %). Cependant, à y regarder de plus près, leur proportion est en baisse, de plus de 5 % d’une année sur l’autre. Si cette tendance se confirme, les attaques au niveau de la couche réseau pourraient devenir aussi courantes que leurs homologues applicatives d’ici à 2018.

La tendance à la hausse des attaques DDoS s’explique par :
– une recrudescence de l’utilisation des services DDoS à louer (« stressers » ou « booters »), dont le nombre est passé de 63,8 % au T2 2015 à 93 % au T1 2016 ;
– des tactiques de frappe éclair, consistant à exécuter une même attaque en plusieurs vagues d’assauts consécutives.

Il est à noter que plus de 40 % des cibles ont essuyé plusieurs attaques, tandis que 16 % ont été visées à plus de cinq reprises.

L’examen des données sur les quatre trimestres révèle une multiplication des attaques récurrentes, dont la proportion est passée de 29,4 % au T3 2015 à 49,9 % au T1 2016. Cela montre la ténacité des auteurs d’attaques DDoS, dont bon nombre persistent à tenter de « faire tomber » une cible même après de multiples échecs.

Augmentation de l’ampleur et de la complexité des attaques sur la couche réseau

Au cours des 12 derniers mois, Incapsula a neutralisé plusieurs attaques dépassant 200 Gbit/s, au point que celles-ci deviennent quasiment régulières.

Un nouveau sommet a été atteint au deuxième trimestre lorsque nous avons protégé un client contre une attaque multivecteur à 470 Gbit/s, la plus violente que nous ayons observée à ce jour. Ses caractéristiques fournissent une intéressante étude de cas concernant la complexité croissante des attaques DDoS sur la couche réseau.

Cet exemple montre comment les auteurs des attaques se sont mis à utiliser des charges (paquets réseau) de moindre taille afin d’augmenter à la fois le taux de transmission des paquets et le débit. En utilisant des taux de paquets élevés, ils tentent d’exploiter un défaut de conception des actuelles appliances de neutralisation, dont la majorité ne peuvent en effet traiter autant de millions de paquets par seconde (Mpps).

Il est alarmant que les attaques de ce type deviennent de plus en plus répandues. Au T1 2016, nous avons neutralisé une attaque dépassant 80 Mpps tous les huit jours. Un certain nombre d’entre elles ont même franchi les 100 Mpps, pour culminer à 300 Mpps.

Des attaques applicatives ciblant les solutions de neutralisation

A l’instar des attaques à fort débit de paquets mentionnées plus haut, l’an dernier a connu divers exemples de nouvelles attaques applicatives conçues pour court-circuiter les solutions de neutralisation DDoS.

Un cas remarquable porte sur une attaque de type flood HTTP exécutée de manière originale, durant laquelle la cible a été bombardée de requêtes (upload) POST de taille anormalement élevée. L’attaque exploitait un point faible d’une installation de neutralisation DDoS hybride, ce qui souligne à quel point certains assaillants maîtrisent désormais le fonctionnement interne des solutions anti-DDoS.

Cette tendance se traduit également par l’emploi accru de robots d’attaque avancés présentant des caractéristiques semblables aux navigateurs, notamment la faculté de conserver des cookies et d’interpréter du code JavaScript (JS).

En moyenne, nos relevés font apparaître que 24 % des robots DDoS ont été à l’origine d’attaques avancées, capables de contourner au moins des tests de sécurité rudimentaires. Au T1 2016, leur proportion a atteint le niveau record de 36,6 %.