Une importante attaque DDoS impacte les fournisseurs anti-spam et ralenti Internet

Responsables IT
attaque ddos

attaque ddos[quote align=”center” color=”#999999″]Une organisation de lutte contre le spam en proie à l’une des plus vastes cyberattaques DDoS ayant eu des répercussions sur des millions d’internautes[/quote]

Avez-vous aussi constaté quelques anomalies sur Internet ces dernières semaines ? Vivez-vous en Europe ou en Amérique du Nord ? Si vous avez répondu par l’affirmative à ces deux questions, il y a de fortes chances que vous ayez été affecté par la plus grande attaque DDoS de l’histoire.

Pour mémoire

La semaine dernière, Cyberbunker, une société hollandaise d’hébergement de contenu sur Internet est entrée en conflit avec SpamHaus, une organisation à but non lucratif fondée en 1998 dont la mission est de traquer les hébergeurs de spams et de publier des listes noires sur ces derniers.

Cyberbunker tire son nom de l’ancien bunker anti-atomique de l’OTAN dans lequel elle a établi son siège social. Pour le moment, leur site semble être hors ligne. À l’heure où nous rédigeons ce billet, il est encore trop tôt pour dire si ceci est dû à une attaque DDoS ou à d’autres circonstances.

Cyberbunker s’adresse aux clients qui sont bannis par les hébergeurs traditionnels en raison des activités dans lesquelles ils sont impliqués.

Leur marché principal consiste à héberger entre autre des clients impliqués dans le vol de droits d’auteur, la diffusion de spam et de logiciels malveillants et bien d’autres encore… à part la pornographie enfantine et les sujets en rapport avec le terrorisme (dieu merci).

attaque ddosSpamhaus a décidé de bloquer les contenus provenant de l’hébergeur Cyberbunker et a ajouté ses adresses IP sur sa liste noire. Cyberbunker a riposté en fait tomber le site internet de Spamhaus.

Quelle est la puissance de l’attaque ?

La puissance de l’attaque aurait parfois atteint les 300 gigaoctets par seconde. Traditionnellement, les botnets les plus dangereux sont uniquement capables de fournir des centaines de mégaoctets ou quelques gigaoctets par seconde.

Pourquoi cette attaque est-elle si spéciale ?

Il s’agit d’une attaque DNS de grande ampleur qui profite de la mauvaise configuration de serveurs DNS pour amplifier la puissance d’un botnet de toute petite taille.

Cloudflare, une société de sécurité informatique, a été recruté par Spamhaus pour la défendre. Clouflare a indiqué que lors d’une attaque beaucoup plus réduite à la fin de 2012 plus de 68 000 serveurs DNS ont été utilisés en une seule attaque.

shutterstock_pipes170

Quelle est l’ampleur du problème ?

Open Resolver Project mentionne que plus de 21,7 millions de serveurs DNS non sécurisés/mal configurés sont utilisés aujourd’hui sur Internet.

Pourquoi ma connexion Internet est-elle plus lente ?

Un sénateur américain a déclenché une avalanche de propos moqueurs sur Internet après l’avoir décrit comme un grand système de canalisation. Toutefois, il y a un peu de vrai dans ses propos.

La majorité des piliers d’Internet (“fournisseurs de service de niveau 1”) sont submergés par le volume de trafic engendré par cette attaque. En effet, lorsque l’attaque est au plus fort, l’accès à certains sites est très lent, voire temporairement impossible. Ces sites et fournisseurs peuvent être considérés comme faisant partie des dommages collatéraux.

Qu’est-ce qu’une attaque DNS reflection ?

Généralement, les requêtes DNS sont envoyées via le protocole UDP. De cette manière, l’attaquant peut usurper l’adresse de l’expéditeur afin de faire croire qu’il s’agit de l’adresse de la victime de l’attaque plutôt que de l’ordinateur lançant lui-même l’attaque.

Comme nous l’avons mentionné ci-dessus, la mauvaise configuration de plus de 21,7 millions de serveurs DNS permet à toute personne mal intentionnée de leur demander des services de nom de domaine sans aucun filtrage ou taux de limitation.

shutterstock_bullhorn170Les attaquants commencent par identifier les actifs vulnérables et utilisent un nombre considérable de botnets leur permettant d’usurper l’adresse IP et d’envoyer des requêtes aux serveurs DNS. Cette technique est baptisée « amplification DNS » ou « DNS reflection ».

Si une requête ou une réponse DNS est inférieure à 512 octets, le serveur utilise le protocole UDP. De cette manière, l’attaquant est sûr que les requêtes envoyées sont de petite taille. Si une réponse DNS est supérieure à 512 octets, le serveur DNS utilise alors le protocole TCP accompagné d’une liaison à trois voies qui est à la fois fastidieuse et grande consommatrice de bande passante.

Non seulement le serveur DNS commence à utiliser le protocole TCP mais les réponses ne doivent pas dépasser quelques Koctets. Aussi, pour 300 octets de trafic de botnets, vous subissez une attaque de plus de 3000 octets en volume de trafic.

Malheureusement, ce problème a été encore aggravée par une technologie de sécurité nommée DNSSEC. La signature du DNS est une étape importante pour prévenir les abus. Toutefois, elle engendre encore plus de réponses DNS pouvant parfois s’élever jusqu’à plus de 5 000 octets au total.

Vous réalisez ainsi qu’une centaine de mégabits de bande passante contrôlée par des botnets peuvent rapidement se transformer en gigabits d’attaques de trafic lancées par les serveurs qui disposent souvent d’une plus grande capacité de traitement et d’une plus grande bande passante.

Que devez-vous faire ?

Si vous utilisez Internet régulièrement, vous ne pouvez pas faire grand chose. Pas de panique pour autant ! Vos données sont en lieu sûr. Vous êtes simplement confronté à un refus de service ou à une grande lenteur de connexion.

Si vous êtes un administrateur de services DNS, configurez sans tarder vos serveurs de noms récursifs afin qu’ils ne répondent qu’à votre propre réseau.

Si vous devez fournir un DNS public, veillez à appliquer le filtrage de requêtes abusives et assurez-vous que la fréquence des requêtes correspond aux volumes que vous avez anticipé.

[divider scroll_text=”Retour en-haut”]

Crédit Chester Wisniewski – Naked Security – Voir le billet original (UK)
Traduction Yannick Delahousse (merci).

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.