Tout au long de 2019, les attaques DDoS ont continué de croître en fréquence, en intensité et en sophistication.

Cependant, la méthode de livraison qui consiste à utiliser des botnets infectés et des serveurs vulnérables pour effectuer des attaques écrasantes à grande échelle n’a pas changé pendant cette période.
Contrairement aux méthodes de sécurité traditionnelles, où les attaquants utilisent l’obscurcissement pour empêcher la détection, la nature puissante des attaques DDoS crée des opportunités pour les défenseurs d’adopter une approche plus proactive en se concentrant sur l’emplacement de l’arme (DDoS).

Revenons à la première attaque DDoS qui a eu lieu en 1997 lors d’un événement DEF CON à Las Vegas.

Le coupable était le pirate notoire Khan Smith, qui a réussi à fermer l’accès à Internet sur le Strip de Vegas pendant plus d’une heure.
La publication d’une partie de ce code a rapidement conduit à des attaques en ligne contre Sprint, EarthLink, E-Trade et bien d’autres organisations.

Avance rapide jusqu’en 2019 AWS, Telegram et Wikipedia ont été parmi les principales victimes du DDoS cette année.

Wikipédia a subi en septembre ce qui semble être l’attaque la plus perturbatrice.
L’attaque DDoS s’est poursuivie pendant trois jours, rendant le site indisponible en Europe, en Afrique et au Moyen-Orient.
La taille de l’attaque n’a pas été rendue publique, mais il est clair qu’il s’agissait d’un déluge volumétrique à l’ancienne conçu pour submerger les serveurs Web de l’entreprise avec un trafic HTTP bidon.
Compte tenu de la protection que les sites utilisent de nos jours, cela suggère qu’il se situe bien dans la plage de térabits par seconde utilisée pour mesurer les plus grands événements DDoS sur Internet.

De même, la plus grande attaque DDoS au premier trimestre de 2019 était de 587 Go / s en volume, contre 387 Go / s en volume pour la plus grande attaque du premier trimestre de 2018.
Il convient également de noter que les attaques supérieures à 100 Go / s ont augmenté de 967% en 2019 par rapport à 2018 et que les attaques entre 50 Go / s et 100 Go / s ont augmenté de 567%.

Cisco estime que le nombre d’attaques DDoS dépassant 1 gigabit de trafic par seconde s’élèvera à 3,1 millions d’ici 2021.

Chez A10 Networks, nous avons suivi l’état du paysage des attaques DDoS et des armes DDoS et ce que nous avons constaté au cours de l’année, c’est que l’IoT est un foyer pour les botnets DDoS.
De même, avec la 5G à l’horizon, avec ses vitesses de données plus élevées et sa latence plus faible, cela étendra considérablement les réseaux d’attaque car elle offre la possibilité d’augmenter les armes DDoS disponibles pour les attaquants.

Dans notre dernier rapport du quatrième trimestre, nous avons constaté que les plus grandes attaques DDoS ont un point commun : l’amplification.

Les attaquants d’armes d’amplification réfléchie exploitent les vulnérabilités du protocole UDP pour usurper l’adresse IP de la cible et exploiter les vulnérabilités des serveurs qui déclenchent une réponse réfléchie.
Cette stratégie amplifie l’attaque en produisant des réponses de serveur beaucoup plus importantes que les requêtes initiales.

Parmi les autres armes notables, citons les attaquants d’armes de botnet DDoS qui exploitent des ordinateurs, des serveurs et des appareils IoT infectés par des logiciels malveillants qui sont sous le contrôle d’un éleveur de robots.
Le botnet résultant est utilisé pour lancer des attaques volumétriques avec état et sans état, de réseau et de couche application.

Pour recueillir ces informations, nos chercheurs obtiennent des renseignements sur les armes en surveillant de près les agents d’attaque sous le contrôle et la commande du botnet, en découvrant les innovations de logiciels malveillants en déployant des « honeypots » et en recherchant sur Internet des sources d’amplification réfléchies exposées.

Ce que nous avons observé, c’est que les attaquants ont découvert une nouvelle arme d’amplification IoT DDoS en exploitant des centaines de milliers d’appareils IoT exposés à Internet exécutant le protocole Web Services Dynamic Discovery (ou WS-Discovery) pour amplifier leurs attaques.
En fait, près de 800 000 amplificateurs réfléchis WS-Discovery disponibles pour exploitation ont été découverts au quatrième trimestre 2019.
Moins de la moitié des hôtes WS-Discovery répondent depuis le port 3702 et le reste depuis les ports hauts.

Fait intéressant, la Chine est le premier pays hôte de drones, mais le Brésil héberge les drones d’attaque les plus actifs.

SNMP a dépassé notre catégorie d’armes à chenilles avec 1 390 505.
Le rapport identifie également les principales sources d’armes DDoS et bien que la nature des attaques DDoS soit distribuée, nous avons trouvé des informations précieuses sur leur origine.
Par exemple, nous avons trouvé des concentrations plus élevées là où les populations connectées à Internet sont les plus denses, à savoir la Chine – 739223 et les États-Unis – 448169.
Le rapport souligne qui sont les principaux numéros de systèmes autonomes (ASN) qui hébergent des armes DDoS (Chinanet occupait la première position avec 289 601) et nous avons également constaté que les opérateurs de téléphonie mobile hébergeant des armes montaient en flèche au cours de la période considérée.

Comme indiqué, les attaques DDoS ne feront que croître et nos résultats trimestriels indiquent certainement que c’est le cas.

Les organisations doivent se préparer maintenant avant que la prochaine attaque à grande échelle ne les frappe.
L’intelligence sophistiquée des menaces DDoS, combinée à la détection des menaces en temps réel et à l’extraction automatisée des signatures, permettra aux entreprises de se défendre contre les attaques DDoS multivectorielles les plus massives, quelle que soit leur origine.
Les informations exploitables permettent une approche proactive des défenses DDoS en créant des listes noires basées sur les flux actuels et précis des adresses IP des botnets DDoS et des services vulnérables disponibles couramment utilisés pour de telles attaques.

Prenez garde et assurez-vous de faire correspondre la sophistication de vos attaquants avec des défenses encore meilleures et plus solides, sinon vous pourriez constater que vous êtes l’une des “meilleures” victimes de DDoS en 2020.

 

Source : By Anthony Webb, EMEA Vice President at A10 Networks

En savoir plus sur les solutions A10 Networks