Quoi de neuf pour les attaques DDOS ?

Très régulièrement, on annonce qu’un nouveau record a été battu lors d’attaques DDOS, en volume (Tera-bits par seconde) ou en nombre de paquets envoyés vers la cible (Million de paquets par seconde). Depuis la mi-2020, on parle aussi de Ransom-DDOS (RDDOS), c’est-à-dire de chantages faits aux entreprises avec demande de versement d’une rançon pour éviter une attaque DDOS qui bloquerait les accès Internet.

Cet article fait un point sur les attaques DDOS, en :

• Rappelant ce que l’on sait historiquement sur ces attaques,
• Regardant les rapports publiés cette année par plusieurs sociétés spécialisées sur la lutte anti-DDOS (CloudFlare, NetScout/Arbor, Radware) ou par des fournisseurs plus généralistes (Kaspersky).

 

Une attaque à la portée de beaucoup d’acteurs

Avec les débits réseaux actuellement proposés au grand public (avec la fibre ou la 4G), il est facile de générer un volume d’attaques significatif. En attaquant des machines vulnérables, n’importe quel pirate amateur peut probablement se constituer un botnet personnel capable de perturber son voisin.

Cela est vrai depuis longtemps (cf. les guerres IRC des années 2000), mais le phénomène s’est amplifié avec l’apparition de méga-botnets comme Mirai (en 2016) qui infectent les IOT sous Linux connectés sur Internet.

L’attaque DDOS est sans doute l’attaque la plus facile à réaliser : psychologiquement (bloquer un site peut sembler moins grave que d’y pénétrer illégalement) et techniquement (la principale difficulté étant probablement la lutte que se font les différents botnets pour conserver le contrôle des équipements infectés). L’attaquant peut soit monter son propre botnet, soit acheter sur le Darkweb les services d’un botnet existant. S’il a les moyens de payer (par exemple s’il a déjà gagné des bitcoins avec une activité illégale) cette deuxième solution est clairement la plus simple.

Comme le montre les chiffres de Cloudflare donnés plus loin dans l’article, une grande partie des attaques DDOS restent de tailles modestes et passent inaperçues. Elles correspondent probablement à des guerres intestines entre groupes rivaux sur Internet. Mais quelques-unes de ces attaques génèrent des blocages plus larges.

 

Quelles sont les motivations des attaquants ?

Depuis longtemps, certaines attaques DDOS ont des motivations pécuniaires. Par exemple, dans les années 2000 (en 2005 ?), on parlait régulièrement d’attaques DDOS et de chantage contre les sites de paris en ligne (en Angleterre par exemple).

Une autre motivation historique est la revendication politique ou idéologique. Par exemple, en 2010, les Anonymous se sont fait connaitre avec des attaques DDOS spectaculaires pour des revendications politiques.

Enfin, on a souvent parlé des attaques « écrans de fumée » où un DDOS est lancé pour détourner l’attention pendant une attaque.

 

Quoi de neuf en 2021 ?

Les rapports des éditeurs continuent régulièrement à signaler une augmentation des attaques DDOS.

De nouvelles techniques d’attaque sont découvertes (les rapports de Kaspersky abordent régulièrement cet aspect), mais il semble que peu d’entre elles soient rapidement intégrées aux outils d’attaques. D’après les rapports de CloudFlare ou Radware, la grande majorité des attaques restent des classiques :

• DDOS HTTP (attaques Layer-7) où le site web visé est saturé par des requêtes de consultation ordinaires. Le botnet MERIS (découvert en septembre 2021) semble particulièrement performant dans ce domaine (voir par exemple cet article de TheRecord.media).
• DDOS réseau (attaques Layers 3 et 4) où l’attaquant exploite en particulier des paquets anormaux bien connus : SYN flood, etc.

En terme de volume, les records actuels données par Netscout / Arbor sont pour H1-2021 :

• En intensité : 675 Mpps (Million packets per Second)
• En volume : 1,5 Tbps (Tera bits per Second)

CloudFlare dans son rapport pour Q3 2021 donne des chiffres intéressants :

• Les botnets Mirai ont dépassé plusieurs fois les 1 Tbps
• 95% de attaques font moins de 500 Mbps, et seules 0,5 % dépassent les 10 Gbps
• 89% des attaques font moins de 50 Kbps, et seules 0,5% dépassent les 10 Mbps
• 94% des attaques durent moins d’une heure, et 0,45% dépassent les 6 heures

 

Les demandes de rançons (Ransom DDOS, appelées aussi R-DDOS)

Ces attaques R-DDOS se sont fait particulièrement remarquer en septembre 2020 en France, et nous les reportions comme un des événements marquants de l’année 2020 (cf. notre bilan annuel).

Elles consistent à menacer une entreprise d’une attaque DDOS si une rançon n’est pas versée. Elles sont accompagnées d’une attaque de démonstration qui montre à la victime que la menace est sérieuse. Les attaquants se sont souvent présentés en prétendant être des groupes d’attaquants célèbres comme Lazarus ou (plus récemment) REvil. A notre connaissance, ces attaques ont eu peu de succès et le plus souvent l’attaquant semble avoir changé de victime, après quelques heures de perturbation, si la victime ne paye pas (ou ne répond pas).

Tous les rapports que nous avons lus, mentionnent ces attaques (CloudFlare a une rubrique spécifique sur ce sujet) et indiquent que ce type d’attaques a continué à se produire tout au long de l’année 2021. CloudFlare indique dans son dernier rapport que les services de VoIP d’opérateurs ont en particulier été visés par ces attaques (attaques SIP) en Q3 2021.

 

Conclusions

Le DDOS reste une menace très présente. Par rapport aux années 2000 où les demandes de rançons visaient les sites de paris en ligne, les attaques DDOS peuvent désormais viser n’importe quelle entreprise, puisque toutes les entreprises dépendent de plus en plus de leur connectivité avec Internet (du fait du Cloud, et du télétravail). Il est clair cependant que plus l’activité de l’entreprise dépend d’internet plus ces attaques DDOS sont pénalisantes. En général ces entreprises mettent en place des protections On-demand ou Permanentes (comme décrit ci-dessous). Il est probable que les autres entreprises se contentent d’une simple protection On-premise et attendent une crise avérée pour passer à une protection plus forte. En tous cas il faut absolument éviter de payer la rançon :

• Certains groupes font des menaces et ne passent jamais à l’attaque,
• d’autres abandonnent leurs attaques au bout de quelques heures.

 

Netscout précise que les éléments que l’entreprise doit protéger sont :

• Les serveurs DNS (une indisponibilité du DNS rend inaccessible toutes les machines)
• Les serveurs VPN (utilisés par exemple pour le télétravail)
•  les serveurs exposés sur Internet.

En termes de protection, 3 niveaux de protections sont généralement proposés :

• Protection on-premise : des équipements de protection sont placés en frontal de l’entreprise protégée.
• Protection Cloud On-demand : lorsqu’une attaque se produit, le trafic destiné à l‘entreprise est redirigé vers le fournisseur de la solution DDOS. Il est filtré et nettoyé avant d’être acheminé jusqu’à l’entreprise.
• Protection Cloud Permanente : le nettoyage du trafic est effectué en permanence, ou se déclenche automatiquement lorsque certains seuils sont atteints.

 

Pour plus d’informations :

• Rapports de CloudFlare : Q1 2021, Q2 2021, Q3 2021
• Rapports de Radware : Q1 2021, Q2 2021, Q3 2021
• Rapport de Netscout / Arbor : H1 2021
• Rapports de Kaspersky : Q1 2021, Q2 2021, Q3 2021