Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Imperva publie les résultats d’une enquête tournant autour d’une nouvelle méthode d’attaque évasive d’amplification DDoS

mai 2018 par Imperva

Les chercheurs de la société Imperva viennent de publier les résultats d’une enquête tournant autour d’une nouvelle méthode d’attaque évasive d’amplification DDoS, qui pourrait mettre en péril toute entreprise ayant une présence en ligne.

Cette attaque apporte un changement de paradigme quant à la façon d’atténuer les assauts dit d’amplification, et ce que l’on sait réellement d’eux.

Dans l’article "New DDoS Attack Method Demands a Fresh Approach to Amplification Assault Mitigation", les chercheurs d’Imperva détaillent leur PoC (Proof of Concept) et indiquent comment l’attaque aurait pu se produire en utilisant un problème de sécurité bien connu, depuis désactivée, dans les dispositifs UPnP. Les résultantes de cette découverte sont étendues et soulignent le besoin qu’ont les fournisseurs de sécurité DDoS d’ajuster leurs stratégies de mitigation, avant que cette technique ne devienne plus commune.

Selon Avishay Zawoznik, directeur de la recherche chez Imperva : " Nous avons découvert une nouvelle technique d’attaque DDoS, qui utilise des vulnérabilités connues, et qui pourrait mettre en danger toute entreprise ayant une présence en ligne. La technique met en évidence la nécessité pour les fournisseurs de mitigation DDoS d’adapter leurs techniques de défense, mais aussi d’introduire des défenses supplémentaires contre les attaques d’amplification, qui vont au-delà du simple blocage d’attaques par certains ports sources. "

Les vecteurs d’amplification d’attaque sont parmi les outils les plus utilisés dans l’arsenal du hacker DDoS. Au dernier trimestre de 2017, les chercheurs d’Imperva ont vu l’amplification NTP utilisée dans environ 33% des attaques DDoS contre ses clients, tandis que les vecteurs d’amplification DNS et SSDP n’étaient respectivement utilisés qu’à 17% et 13,7%.

Pour des personnes malveillantes, les vecteurs d’amplification offrent un raccourci au lancement de lourds assauts de bande passante, sans avoir à recourir à des ressources botnet de même ampleur. Du point de vue de la mitigation cependant, ils représentent une menace diminuée à l’heure actuelle, car la plupart des services de mitigation ont évolué à un point tel, que la bande passante d’une attaque n’est plus un sujet de préoccupation majeur, voire plus un sujet du tout.

Plus important encore, les en-têtes de port source des charges utiles d’amplification suivent un modèle prévisible, facilitant leur filtrage à la frontière réseau. Par exemple, le blocage de tous les paquets avec le port source 53 est considéré comme une méthode éprouvée pour atténuer les attaques d’amplification DNS.


Voir les articles précédents

    

Voir les articles suivants