Krebs sur la sécurité

Mardi soir, KrebsOnSecurity.com a été la cible d’une attaque par déni de service distribué (DDoS) extrêmement importante et inhabituelle conçue pour mettre le site hors ligne. L’attaque n’a pas réussi grâce au travail acharné des ingénieurs d’Akamai, la société qui protège mon site de tels sièges numériques. Mais selon Akamai, il s’agissait de près du double de la plus grande attaque qu’ils aient jamais vue auparavant et de l’une des plus grandes agressions dont Internet ait jamais été témoin.
iotstuf

L’attaque a commencé vers 20 h HE le septembre. 20, et les rapports initiaux l’indiquaient à environ 665 Gigabits de trafic par seconde. Une analyse supplémentaire du trafic d’attaque suggère que l’assaut était plus proche de la taille de 620 Gbps, mais en tout cas, c’est beaucoup plus de trafic que ce qui est généralement nécessaire pour mettre la plupart des sites hors ligne.

Martin McKeay, le principal défenseur de la sécurité d’Akamai, a déclaré que la plus grande attaque que la société ait jamais vue avait été enregistrée plus tôt cette année à 363 Gbit/s. Mais il a dit qu’il y avait une différence majeure entre les attaques DDoS d’hier soir et le détenteur du record précédent: l’attaque 363 Gpbs aurait été générée par un botnet de systèmes compromis utilisant des techniques bien connues leur permettant d'”amplifier” une attaque relativement petite en une attaque beaucoup plus grande.

En revanche, l’énorme assaut de cette semaine sur mon site semble avoir été lancé presque exclusivement par un très grand botnet d’appareils piratés.

Les plus grandes attaques DDoS enregistrées ont tendance à être le résultat d’une méthode éprouvée connue sous le nom d’attaque par réflexion DNS. Dans de telles agressions, les auteurs sont en mesure de tirer parti des serveurs DNS non gérés sur le Web pour créer d’énormes inondations de trafic.

Idéalement, les serveurs DNS ne fournissent des services qu’aux machines d’un domaine de confiance. Mais les attaques par réflexion DNS reposent sur des routeurs grand public et professionnels et d’autres appareils équipés de serveurs DNS (mal) configurés pour accepter les requêtes de n’importe où sur le Web. Les attaquants peuvent envoyer des requêtes DNS usurpées à ces serveurs DNS dits ” récursifs ouverts “, forgeant la requête de sorte qu’elle semble provenir du réseau de la cible. De cette façon, lorsque les serveurs DNS répondent, ils répondent à l’adresse usurpée (cible).

Les méchants peuvent également amplifier une attaque réfléchissante en créant des requêtes DNS de sorte que les réponses soient beaucoup plus grandes que les requêtes. Pour ce faire, ils tirent parti d’une extension du protocole DNS qui active les messages DNS volumineux. Par exemple, un attaquant pourrait composer une requête DNS de moins de 100 octets, ce qui provoquerait une réponse 60 à 70 fois plus importante. Cet effet “d’amplification” est particulièrement prononcé si les auteurs interrogent simultanément des dizaines de serveurs DNS avec ces requêtes usurpées.

Mais selon Akamai, aucune des méthodes d’attaque utilisées lors de l’assaut de mardi soir contre KrebsOnSecurity ne reposait sur l’amplification ou la réflexion. Au contraire, beaucoup étaient des méthodes d’attaque Web poubelle qui nécessitent une connexion légitime entre l’hôte attaquant et la cible, y compris les inondations SYN, GET et POST.

C’est-à-dire, à l’exception d’une méthode d’attaque: Une analyse préliminaire du trafic d’attaque suggère que la plus grande partie de l’attaque s’est peut-être présentée sous la forme d’un trafic conçu pour ressembler à des paquets de données d’encapsulation de routage générique (GRE), un protocole de communication utilisé pour établir une connexion directe point à point entre les nœuds du réseau. GRE permet à deux pairs de partager des données qu’ils ne pourraient pas partager sur le réseau public lui-même.

” Voir autant d’attaques provenant du GRE est vraiment inhabituel “, a déclaré McKeay d’Akamai. “Nous n’avons commencé à voir cela que récemment, mais le voir à ce volume est très nouveau.” Continuer la lecture →

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.