Agrandir
Getty Images
commentaires des lecteurs
26
avec 25 affiches participantes
Partagez cette histoire
Partager sur Facebook
Partager sur Twitter
Partager sur Reddit
Les criminels augmentent la puissance des attaques par déni de service distribué avec une technique qui abuse d'un protocole Internet largement utilisé qui augmente considérablement la quantité de trafic indésirable dirigé vers les serveurs ciblés.
Les DDoS sont des attaques qui inondent un site Web ou un serveur avec plus de données qu'il ne peut en gérer. Le résultat est un déni de service aux personnes essayant de se connecter au service. Alors que les services d'atténuation DDoS développent des protections qui permettent aux cibles de résister à des torrents de trafic toujours plus importants, les criminels réagissent avec de nouvelles façons de tirer le meilleur parti de leur bande passante limitée.
Être amplifié
Dans les attaques dites d'amplification, les DDoSers envoient des requêtes de tailles de données relativement petites à certains types de serveurs intermédiaires. Les intermédiaires envoient alors aux cibles des réponses qui sont des dizaines, des centaines ou des milliers de fois plus grosses. La redirection fonctionne car les requêtes remplacent l'adresse IP de l'attaquant par l'adresse du serveur ciblé.
Lectures complémentaires
Les DDoS dans la nature utilisent une nouvelle façon d'atteindre des tailles impensables
D'autres vecteurs d'amplification bien connus comprennent le
memcached
système de mise en cache de base de données avec un facteur d'amplification de 51 000, le
Protocole de temps réseau
avec un facteur de 58, et
serveurs DNS mal configurés
avec un facteur 50.
Le fournisseur d'atténuation DDoS Netscout a déclaré mercredi avoir observé que les services DDoS à la location adoptaient un nouveau vecteur d'amplification. Le vecteur est le
Sécurité de la couche de transport des datagrammes
, ou D/TLS, qui (comme son nom l'indique) est essentiellement le
Sécurité de la couche de transport
pour les paquets de données UDP. Tout comme TLS empêche l'écoute clandestine, la falsification ou la falsification des paquets TLS, D/TLS fait de même pour les données UDP.
Les DDoS qui abusent de D/TLS permettent aux attaquants d'amplifier leurs attaques par un facteur de 37. Auparavant, Netscout ne voyait que des attaquants avancés utilisant une infrastructure DDoS dédiée abuser du vecteur. Désormais, les services dits de démarrage et de stress, qui utilisent des équipements de base pour fournir des attaques contre rémunération, ont adopté la technique. La société a identifié près de 4 300 serveurs D/LTS accessibles au public et susceptibles d'être abusés.
Publicité
Les plus grandes attaques basées sur D/TLS que Netscout a observées ont généré environ 45 Gbit/s de trafic. Les personnes responsables de l'attaque l'ont combinée avec d'autres vecteurs d'amplification p
our atteindre une taille combinée d'environ 207 Gbps.Les attaquants qualifiés disposant de leur propre infrastructure d'attaque découvrent, redécouvrent ou améliorent généralement les vecteurs d'amplification, puis les utilisent contre des cibles spécifiques. Finalement, la nouvelle va s'infiltrer dans le sous-sol à travers les forums de la nouvelle technique. Les services d'amorçage/de stress font ensuite des recherches et de l'ingénierie inverse pour l'ajouter à leur répertoire.
Difficile d'atténuer
L'attaque observée "se compose de deux vecteurs individuels ou plus, orchestrés de manière à ce que la cible soit frappée simultanément par les vecteurs en question", ont écrit Richard Hummel, responsable de Netscout Threat Intelligence et Roland Dobbins, ingénieur principal de l'entreprise. "Ces attaques multi-vecteurs sont l'équivalent en ligne d'une attaque interarmes, et l'idée est à la fois de submerger les défenseurs en termes de volume d'attaque et de présenter un scénario d'atténuation plus difficile."
Les 4 300 serveurs D/TLS pouvant faire l'objet d'abus sont le résultat de mauvaises configurations ou de logiciels obsolètes qui entraînent la désactivation d'un mécanisme anti-usurpation d'identité. Bien que le mécanisme soit intégré à la spécification D/TLS, le matériel, y compris Citrix Netscaller Application Delivery Controller, ne l'a pas toujours activé par défaut. Citrix a plus récemment encouragé les clients à passer à une version logicielle qui utilise l'anti-usurpation par défaut.
En plus de représenter une menace pour les appareils sur Internet en général, les serveurs D/TLS abusifs mettent également les organisations qui les utilisent en danger. Les attaques qui font rebondir le trafic sur l'une de ces machines peuvent provoquer une interruption totale ou partielle des services d'accès à distance critiques à l'intérieur du réseau de l'entreprise. Les attaques peuvent également provoquer d'autres interruptions de service.
Hummel et Dobbins de Netscout ont déclaré que les attaques peuvent être difficiles à atténuer car la taille de la charge utile dans une requête D/TLS est trop importante pour tenir dans un seul paquet UDP et est donc divisée en un flux de paquets initial et non initial. .
"Lorsque de gros paquets UDP sont fragmentés, les fragments initiaux contiennent des numéros de port source et de destination", ont-ils écrit. « Les fragments non initiaux ne le font pas ; ainsi, lors de l'atténuation d'un vecteur de réflexion/amplification UDP qui se compose de paquets fragmentés, tels que la réflexion/amplification DNS ou CLDAP, les défenseurs doivent s'assurer que les techniques d'atténuation qu'ils emploient peuvent filtrer à la fois les fragments initiaux et non initiaux du trafic d'attaque DDoS en question, sans overclocker les fragments UDP légitimes non initiaux.
Netscout a des recommandations supplémentaires
ici
.