Attaque DdoS : nouveau pic d’alerte en Europe et en France
CloudFlaire (CDN) et Arbor Networks ont relevé des pointes atypiques dans des assaut par déni de service distribué (DDoS) en Europe. Avec un nouveau record en France.
Grosse alerte DDoS en Europe dans la journée de lundi (10 février). Ce serait même la plus importante à en croire CloudFlare (prestataire CDN). Mais il faut prendre un peu de recul : avec le dernier signal d’alarme lié à Spamhaus (300 Gigabits par seconde ou Gbit/s), on se demandait si l’Internet n’allait pas tomber… Néanmoins, il ne faut pas sous-estimer le niveau de recrudescence. Selon CloudFlare, l’attaque a frôlé les 400 Gbps sur les réseaux européens.
Les détails de l’assaut massif ne sont pas révélés. Serait-il associé à la campagne de protestation anti-NSA The Day We Fight Back ? En tant que fournisseur de services de type content delivery networking, CloudFlare considère qu’un client en particulier était visé. Sans préciser lequel. Néanmoins, la cible « disposait de capacités supplémentaires », commente Matthew Prince, co-fondateur et CEO de CloudFlare. « Globalement, le réseau n’a pas été affecté. » Mais, du côté d’Akamai (leader dans le segment CDN), on reste silencieux sur cet assaut censé avoir fait tremblé le Web en Europe.
De son côté, Arbor Networks, fournisseur de solutions contre les attaques par déni de service distribué (DDoS en anglais), se montre également surpris de l’ampleur. Son observatoire ATLAS a détecté le lundi 10 février « une attaque visant une cible en France culminant à 325 Gbit/s « . Ce serait donc un nouveau cap atteint dans la puissance de feu.
Tout en poursuivant : « A l’instar d’autres attaques de grande envergure, celle-ci paraît avoir employé une technique de réflexion afin d’amplifier ses effets, exploitant en l’occurrence le protocole NTP (UDP/123). Il semble en outre que d’autres attaques se sont produites dans l’Hexagone durant le week-end, d’une ampleur allant de 40 à 80 Gbit/s ».
Arbor Networks rappelle dans le cadre de sa 9ème étude annuelle sur la sécurité des infrastructures IP mondiales (WISR, Worldwide Infrastructure Security Report) que la plus importante attaque en 2013 a atteint 309 Gbit/s, avec des cas réguliers d’entreprises signalant des assaut supérieurs à 100 Gbit/s.
Selon Silicon.fr, OVH a également reporté une attaque massive. « En ce moment, les DDoS, que notre réseau reçoit, dépassent largement 350 Gbit/s…durant des heures », a signalé Octave Klaba, directeur général du groupe de services Internet en France (hébergement, noms de domaine…), dans un tweet du 11 février.
CloudFlare : « Quelqu’un dispose d’un gros et nouveau canon » |
Les assaillants auraient exploité une faille du protocole Network Time (NTP) de synchronisation des horloges systèmes qui permet de lancer des requêtes d’information sur les clients connectés et leur trafic en cours (la requête monlist ou MON_GETLIST en l’occurrence). Envoyées en nombre, ces requêtes peuvent générer un trafic massif à même de faire tomber le réseau comme n’importe quelle attaque DDoS. Ce qui est relativement innovant, estime Silicon.fr, c’est l’usurpation d’adresse IP qui donne l’apparence au système que ces requêtes proviennent de la victime. Le serveur NTP renvoie alors, en toute confiance, une liste des 600 dernières adresses IP connectées, amplifiant d’autant le trafic. En d’autres termes, une petite requête suffit désormais à provoquer un gros trafic. « Quelqu’un dispose d’un gros et nouveau canon. De vilaines choses sont à prévoir », a commenté, sur Twitter, Matthew Prince, CEO de CloudFlare. |
Quiz : Connaissez-vous l’architecture RAID ?
Credit photo : Shutterstock.com – Copyright: Fabio Berti