À force de gagner en puissance, les attaques DDoS finissent par dépasser ceux-là mêmes censés les contenir. Un fournisseur spécialisé dans la mitigation en a récemment fait l’expérience, à ses dépens.
- Un prestataire spécialisé dans la lutte anti-DDoS a subi une attaque DDoS inédite, atteignant 1,5 milliard de paquets par seconde.
- L'assaut a été lancé depuis plus de 11 000 réseaux compromis, incluant des objets connectés et des routeurs vulnérables.
- Cette évolution des attaques DDoS met en lumière la nécessité d'une meilleure protection des connexions sortantes.
Quelques jours après que Cloudflare a bloqué la plus grosse attaque DDoS jamais enregistrée contre l’un de ses clients, un autre acteur de la protection réseau s’est, cette fois, retrouvé directement pris pour cible. Selon l'éditeur FastNetMon, un fournisseur européen spécialisé dans la défense contre les attaques DDoS a dû encaisser un assaut d’une ampleur inédite, atteignant plus de 1,5 milliard de paquets par seconde. Une offensive moins massive en volume qu’en intensité, conçue pour mettre à genoux les équipements chargés de traiter le trafic.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une attaque fulgurante, générée depuis plus de 11 000 réseaux compromis
C’est dans un billet de blog récemment publié que FastNetMon est revenu sur une attaque DDoS à très haut débit subie par l’un de ses clients, un fournisseur de scrubbing dont l’identité n’est pas précisée. Le site web du prestataire a été ciblé par une vague continue de paquets UDP, émis à un rythme soutenu de 1,5 milliard de paquets par seconde (Bpps).
À la différence de l’offensive récemment stoppée par Cloudflare, qui a atteint un débit de 11,5 Tbps en seulement 35 secondes, l’objectif ici n’était pas de saturer la bande passante, mais de mettre à mal les équipements censés filtrer le trafic. En clair, plutôt que d’occuper toute la largeur du tuyau, comme dans une attaque (hyper-)volumétrique classique, l’assaut a misé sur l’émission ultra-rapide de paquets légers pour asphyxier les capacités de traitement des systèmes justement censés bloquer ce genre d’attaque.
Dans le détail, l’offensive s’est appuyée sur un botnet massif composé de plus de 11 000 adresses IP distinctes. Parmi les équipements compromis figuraient des objets connectés, mais aussi de nombreux routeurs MikroTik vulnérables ou mal sécurisés, détournés à l’insu de leurs propriétaires. Une dispersion géographique des sources qui, combinée à la cadence infernale des requêtes malveillantes, a considérablement compliqué les efforts de mitigation, même pour un fournisseur aguerri disposant d’outils spécialisés.
Un modèle de neutralisation qui repose trop sur les seules capacités de celui qui encaisse
L’attaque documentée par FastNetMon s’inscrit dans une évolution bien connue des offensives DDoS. Depuis plusieurs mois, ces campagnes reposent de plus en plus sur des volumes extrêmes de paquets émis à très haute fréquence, souvent générés par des milliers d’objets connectés enrôlés dans des botnets toujours plus vastes et plus nombreux. Par là même, la saturation ne passe plus uniquement par une congestion de la bande passante, mais par une pression constante exercée sur les ressources de traitement des infrastructures visées.
Un glissement qui remet en cause un équilibre déjà précaire. Les dispositifs de mitigation sont conçus pour absorber, trier et rediriger le trafic malveillant avant qu’il n’atteigne ses cibles, mais lorsqu’ils deviennent eux-mêmes la cible, leur résistance dépend entièrement de leur capacité à tenir seuls.
Par conséquent, le fond du problème ne tient pas tant à la complexité des attaques qu’à la multiplicité de leurs sources, généralement dispersées, dynamiques et difficiles à enrayer sans action coordonnée au niveau des FAI et des opérateurs d’infrastructure.
En clair, tant que les connexions sortantes ne seront pas mieux encadrées par les télécoms, des équipements domestiques mal protégés continueront d’alimenter botnets et campagnes DDoS, et les réponses techniques, aussi efficaces soient-elles, ne pourront qu’endiguer, faute de pouvoir prévenir ce qui n’est jamais filtré en amont.
Source : FastNetMon
