Microsoft repousse une attaque DDoS record de 3,47 Tbps

Microsoft repousse une attaque DDoS record de 3,47 Tbps

8 février 2022 0 Par Le Caiman
Des uns et des zéros semblent flotter dans l'eau à côté d'un homme qui se noie.

Au fur et à mesure des attaques Internet, les inondations de données conçues pour frapper les serveurs hors ligne sont parmi les plus grossières, ressemblant à un homme des cavernes brutal brandissant un club pour frapper son rival. Au fil des ans, ces clubs se sont agrandis. De nouvelles données fournies par Microsoft jeudi montrent qu’il n’y a pas de fin en vue à cette croissance.

L’équipe Azure DDoS Protection de l’entreprise mentionné qu’en novembre, il a repoussé ce que les experts de l’industrie disent être probablement la plus grande attaque par déni de service distribué jamais réalisée : un torrent de données indésirables avec un débit de 3,47 térabits par seconde. L’enregistrement DDoS provenait de plus de 10 000 sources situées dans au moins 10 pays à travers le monde.

Course aux armements DDoS

Le DDoS a ciblé un client Azure non identifié en Asie et a duré environ deux minutes.

Le mois suivant, a déclaré Microsoft, Azure a repoussé deux autres DDoS monstres. Pesant à 3,25 Tbps, le premier est venu en quatre rafales et a duré environ 15 minutes.

Le deuxième DDoS de décembre a atteint un pic de 2,54 Tbps et a duré environ cinq minutes.

Le record bat une attaque de 2,5 Tbps que Microsoft a atténuée au premier semestre 2021. Auparavant, l’une des plus grandes attaques avait une taille de 2,37 Tbps, une augmentation de 35% par rapport au record établi en 2018. Un DDoS distinct en 2020 a généré 809 millions de paquets par seconde, ce qui était aussi un record à l’époque.

Les DDoS en mode paquet par seconde fonctionnent en épuisant les ressources informatiques d’un serveur. Les attaques volumétriques plus traditionnelles, en revanche, consomment la bande passante disponible soit à l’intérieur du réseau ou du service ciblé, soit entre la cible et le reste d’Internet. L’attaque de 3,7 Tbps a livré environ 340 millions de paquets par seconde.

Amplifiant le mal

Les malfaiteurs à l’origine des attaques DDoS disposent de plusieurs méthodes pour fournir des flots de données toujours plus importants. L’une consiste à augmenter le nombre d’ordinateurs, de routeurs ou d’autres appareils connectés à Internet compromis dans leur arsenal ou à recruter ou à compromettre de grands serveurs disposant de plus de bande passante.

Une autre méthode consiste à mettre en œuvre attaques d’amplification de réflexion. Dans ce type d’attaque, les malfaiteurs pointent leurs canons de données sur un appareil Internet mal configuré de manière à ce que l’appareil redirige une charge utile beaucoup plus importante vers la cible ultime. Cette dernière méthode est principalement à l’origine de la course aux armements DDoS sans cesse croissante.

Les DDoSers découvrent régulièrement de nouveaux vecteurs d’amplification. En 2014, les attaques qui abusaient du protocole de temps réseau d’Internet, ou NTP, sont devenues à la mode lorsque le protocole a été utilisé pour mettre hors ligne les serveurs appartenant à Steam, Origin, Battle.net, EA et d’autres grands fabricants de jeux. Cette méthode facilite une 206 fois augmentation du débit, ce qui signifie qu’un gigaoctet de données fourni par un périphérique final atteint 206 gigaoctets au moment où il atteint sa cible finale.

En 2018, les fraudeurs se sont tournés vers memcachd, un système de mise en cache de base de données pour accélérer les sites Web et les réseaux. L’amplificateur memcached peut délivrer des attaques jusqu’à 51 000 fois leur taille d’origine, ce qui en fait de loin la plus grande méthode d’amplification jamais utilisée dans la nature. Un an plus tard, les DDoS ont été répercutés sur les appareils utilisant WS-Discovery, un protocole présent dans un large éventail de caméras connectées au réseau, de DVR et d’autres appareils de l’Internet des objets.

Plus récemment, les DDoSers ont abusé de Microsoft RDP et ont mal configuré les serveurs exécutant CLDAP (abréviation de Connectionless Lightweight Directory Access Protocol) et Plex Media Server lorsqu’il exécute le protocole Simple Service Discovery (ou SSDP). Cela peut exposer les appareils à l’Internet général.