Nous avons franchi une nouvelle étape avec la plus grande attaque de déni de service distribué (DDoS) enregistrée par Amazon Web Services (AWS) à 2,3 Tbps au T1 2020.
Cela dépasse la dernière attaque record de 70%.
Le précédent détenteur du record était la base Memcached GitHub attaque DDoS qui mesure 1,35 Tbit le 28 février 2018 .
En effet, ces «gains de performances» qui font la une des journaux concernant les attaques DDoS ont augmenté de façon constante au cours des quatre dernières années, avec une attaque majeure de haut niveau tous les deux ans.
Cette tendance inclut les attaques provenant du botnet Mirai de 2016.
On peut dire que Mirai représentait l’ensemble des attaques DDoS les plus en vue notamment avec l’attaque de botnet multi-vecteur «innovante» ciblant le blogueur de la sécurité, Brian Krebs, à 620 Mbps et qui a continué avec le rapport du mois suivant concernant la société d’hébergement française OVH de 1,2 Tbps.
Cette attaque DDoS, à plus d’un térabit par seconde, a été la première, du jamais vue.
Le code d’attaque du botnet Mirai était open source, et pour tenter de masquer ses auteurs (sans succès), de nombreuses variantes ont été créées.
Celles-ci, nous embarrasse encore aujourd’hui.
Chacune de ces attaques DDoS record a été différente, mais chacune peut nous aider à apprendre et développer de meilleures défenses.
Est-ce vraiment la plus grande attaque DDoS?
Alors, est-ce réellement la plus grande attaque?
Non, chez A10, nous avons eu des rapports sur des attaques plus importantes que l’an dernier.
Cependant, il s’agit de la plus grande attaque divulguée publiquement à ce jour, et elle représente donc une étape importante.
De nombreuses organisations ne divulguent pas publiquement l’étendue ou le volume des attaques qu’elles subissent.
À titre d’exemple, nous avons montré à un client d’hébergement des statistiques de détections et d’atténuations DDoS totalisant plus de 25 000 attaques sur une période de 90 jours.
Cela n’est généralement pas divulgué et les attaques sont progressivement absorbées dans une infrastructure de défense DDoS bien planifiée.
Avec une priorité renforcée mis sur la défense DDoS depuis l’attaque du botnet Mirai, de nombreuses organisations ont déployé des solutions pour protéger leurs utilisateurs et leurs réseaux, la plupart des attaques étant atténuées et non signalées.
La préparation est essentielle pour anticiper les types d’attaques normales et saisonnières que votre solution peut gérer, en particulier les attaques multi-vecteurs complexes mais aussi pour vous assurer d’avoir les dernières informations sur les armes DDoS qui pourraient menacer l’expérience utilisateur ainsi que votre marque.
Une recherche permanente sur les menaces comme, Le rapport sur les armes DDoS de l’A10, le rapport sur le paysage des menaces du bouclier AWS et d’autres devraient être lus régulièrement par les équipes chargées de contrer les attaques DDoS.
Points à retenir du CLDAP et du mPPS
L’attaque AWS signalée était basée sur une attaque par réflexion DDoS CLDAP (Connection-less Lightweight Directory Access Protocol); combinée à des attaques d’amplification, sont des techniques attendues pour une attaque de grande ampleur.
Nous continuons à considérer les attaques de réflexion et d’amplification comme “l’arme de choix”, avec CLDAP et d’autres attaques d’amplification courantes telles que les services UDP Portmap, DNS, NTP, SSDP et SNMP UDP.
Ces attaques ont deux avantages principaux: premièrement, l’amplification de la charge utile de l’attaquant pourrait générer 5x, 10x ou 100x le trafic de leurs demandes, et deuxièmement, ils peuvent masquer les traces de l’attaquant tout en ciblant les charges utiles sur une cible spécifique de leur choix.
CLDAP est un outil d’amplification connu, et bien qu’AWS n’offre pas beaucoup de détails dans son rapport, nous savons que CLDAP n’est pas l’ une des meilleures armes DDoS disponibles aujourd’hui.
L’équipe de recherche sur les menaces A10 a analysé les informations concernant la menace du CLDAP par rapport aux autres armes DDoS et cela dresse un constat intéressant.
Dans les dernières informations du rapport sur les armes DDoS d’A10 du deuxième trimestre 2020, CLDAP ne fait pas parti des cinq premières armes DDoS.
Beaucoup moins connu comme arme disponible à exploiter.
Pour chaque arme CLDAP, il existe 116 armes Portmap.
Ainsi, bien qu’il s’agisse d’une surface d’attaque plus petite, elle est toujours très exploitable, comme l’a montré l’attaque AWS DDoS.
Lorsque nous regardons les cinq premiers pays pour toutes les armes DDoS, nous voyons plus de 2 millions d’armes aux États-Unis, mais en comparaison, nous ne voyons que 1 294 armes CLDAP.
Cela ne représente que 0,13% de ces armes.
Les chiffres inférieurs ne sont pas une énorme surprise.
Un couple de grandes organisations d’hébergement Cloud, y compris Amazon, montrent un plus grand nombre d’armes que les réseaux de haut niveau typiques (par désignation ASN), ce qui pourrait indiquer que ces serveurs sont annoncés par inadvertance et ne sont peut-être pas correctement sécurisés , par des équipes informatiques qui ont porté des charges de travail d’application vers le Cloud.
Les entreprises doivent sécuriser étroitement les applications dans les environnements Multi-Cloud en utilisant un modèle de Zero-Trust , par exemple, pour décider de ce qui doit ou pas être exposé.
La protection DDoS est une autre couche d’un modèle Zero-Trust qui peut signaler les anomalies du réseau, arrêter le trafic indésirable et atténuer les attaques.
Dans les environnements Cloud, le modèle de responsabilité partagée doit être utilisé car la sécurité n’est pas uniquement la responsabilité du fournisseur.
Ceci, encore une fois, souligne la nécessité d’une approche et d’un état d’esprit de sécurité Zero Trust.
Bien que le débit de l’attaque soit souvent au centre de l’attention, car il s’agit d’un chiffre élevé qui a fait la une des journaux.
Cependant, les chiffres supplémentaires d’AWS Shield mettent également en garde contre d’autres tendances que les défenseurs DDoS doivent prévoir.
Nous avons souvent parlé des nombres mPPS (millions de paquets par seconde) comme une mesure clé qu’une solution DDoS devrait prendre en compte.
Le rapport Verizon sur les menaces de 2014 a montré des augmentations alarmantes, et de toute évidence ces chiffres sont maintenant éclipsés.
Cela dit, l’augmentation régulière est intéressante.
Nous voyons que l’attaque CLDAP a été une augmentation spectaculaire du nombre de «YoY / QoQ» du «plus grand débit binaire (Tbit / s)» de 188% et 283% respectivement, mais il est également remarquable de regarder le «plus grand taux de paquets (Mpps)».
Mpps a augmenté un YoY / QoQ stable de 13% et 4% respectivement.
Les chiffres réels entrent pour les périodes du premier trimestre 2019, du quatrième trimestre 2019 et du premier trimestre 2020, soit 260,1 millions, 282,2 millions et 293,1 millions.
C’est beaucoup de paquets, et cela ne diminue pas.
Maintenant, ce n’était pas nécessairement à cause de l’attaque CLDAP, mais la dernière en date s’est produite au cours du même trimestre, renforçant la nécessité d’une stratégie de protection DDoS complète.
De toute évidence, il existe plusieurs pics et tendances qui doivent être combattu, pas seulement ceux qui ont fait la une des journaux.
Qu’est-ce que l’attaque CLDAP et comment vous protéger
CLDAP, ou Lightweight Directory Access Protocol, sans connexion, est un protocole de recherche d’annuaire basé sur UDP qui complète le protocole LDAP basé sur TCP.
CLDAP est conçu pour réduire les frais généraux de connexion lors de la récupération des informations sur les ressources organisationnelles d’une base de données de service d’annuaire lors de l’utilisation de LDAP.
Comme mentionné dans le CLDAP RFC 3352, cependant, le protocole CLDAP a été intrinsèquement conçu avec des failles de sécurité telles que l’accès anonyme, aucune protection d’intégrité et une protection de confidentialité manquante.
Si le serveur CLDAP n’est pas correctement configuré et exposé à Internet, il répondra à toutes les demandes même si le client CLDAP est usurpé.
Les réponses CLDAP peuvent atteindre 56 à 70 fois la demande CLDAP d’origine.
Cela est connu comme étant un facteur d’amplification élevé.
En raison de son facteur d’amplification élevé, les serveurs CLDAP sont souvent exploités par les attaquants DDoS pour les attaques par amplification réfléchie UDP.
Au moment de la publication de cet article, A10 armes intelligence surveille 15 651 serveurs CLDAP ouverts sur Internet qui pourraient être utilisés pour déclencher des attaques d’amplification en gigabits voir des térabits.
Comment se protéger d’une attaque DDoS CLDAP
Étant donné que les paquets CLDAP réfléchis sont tous livrés avec le port UDP 389 comme port source UDP, le trafic du port 389 bloquant ou limitant le débit provenant d’Internet est une méthode de protection DDoS efficace pour atténuer la réflexion CLDAP et l’attaque d’amplification, surtout si elle ne devait pas recevoir des réponses CLDAP sur Internet.
Alternativement, des configurations TCP ou LDAP chiffrées peuvent être utilisées.
Alors que CLDAP est l’attaque “du jour”, les plus grandes attaques ont toutes utilisé différents vecteurs d’attaque, donc la prochaine attaque DDoS record est peu susceptible d’être CLDAP, mais il est probable qu’il s’agisse d’une attaque d’amplification et de réflexion DDoS, basée sur les meilleures armes DDoS que nous identifions trimestre après trimestre.
Par conséquent, il est important de vous assurer que vous disposez de bases de référence pour votre trafic, mettre en oeuvre les meilleures pratiques de défense contre les attaques DDoS Zero Trust et de vous tenir au courant des dernières tendances d’attaque DDoS.
Protégez pro activement votre réseau afin de ne pas devenir la prochaine cible DDoS .
Le système de protection contre les menaces A10 Thunder ® (TPS) offre une protection DDoS évolutive, automatisée et optimisée par l’IA avec un apprentissage automatique avancé pour vous aider à lutter contre le problème croissant des attaques DDoS multi-vecteurs et IoT, évitant ainsi les temps mort de l’entreprise, la perte de revenus et le risque pour votre réputation.
Source : A10 Networks
En savoir plus sur les solutions A10 Networks
