Carpet-bombing : une stratégie de dispersion contre les attaques DDoS

0
174

L’équipe ASERT de NETSCOUT présente aujourd’hui une analyse approfondie de l’évolution de la technique d’attaque DDoS connue sous le nom de “carpet-bombing” dans un nouvel article de blog à retrouver ci-dessous. 

Tribune – Cette analyse est le fruit d’une méthode novatrice développée par l’équipe pour évaluer l’ampleur et la fréquence de ce type d’attaques, en exploitant les données collectées par son vaste réseau mondial d’« honeypots »  et son programme de visibilité ATLAS. Notamment, il est important de noter que la plupart de ces attaques sont de courte durée, avec 90 % d’entre elles ne dépassant pas une minute, ce qui souligne les limitations des ressources disponibles pour les auteurs de ces attaques. Les observations de NETSCOUT révèlent une moyenne de 6000 attaques DDoS par jour, mettant en lumière l’ampleur de cette menace.

En 2019, NETSCOUT a observé l’évolution d’une technique d’attaque DDoS dite de « carpet-bombing ». Bien que cette méthode ait été identifiée pour la première fois en 2016, ce n’est qu’en fin d’année 2019 que son adoption à grande échelle a été constatée par les cyberattaquants. Les attaques de ce type se caractérisent par la cible simultanée d’une gamme d’adresses ou de sous-réseaux, inondant les réseaux de trafic superflu tout en évitant les seuils de bande passante/débit habituellement utilisés par les fournisseurs de services pour détecter et mitiger ces flux indésirables. L’incapacité des services en amont à détecter ces attaques rend la tactique particulièrement efficace, causant souvent la mise hors service ou la dégradation des services visés.

L’équipe ASERT de NETSCOUT a développé une méthode novatrice pour évaluer l’ampleur et la fréquence des « carpet-bombing », grâce aux données récoltées par son réseau mondial de « honeypots » et son programme de visibilité ATLAS. Cette connaissance approfondie permet à NETSCOUT de prendre des décisions éclairées sur l’évolution de ses produits pour mieux contrer cette menace.

Taille des attaques de « carpet-bombing »

Un adversaire souhaite perturber les services et la disponibilité, et lance généralement des attaques très volumineuses contre un seul hôte. Cela a été le choix prédominant depuis des décennies, ce qui a conduit la plupart des solutions de lutte contre les DDoS à résoudre principalement ce problème avec une surveillance basée sur l’hôte, mais cela est insuffisant. Si un adversaire lançait une attaque de 100 Gbps contre un seul hôte, chaque fournisseur de services dans le monde détecterait probablement et atténuerait ce trafic avant qu’il n’atteigne jamais la cible. Cependant, si ce même adversaire décidait d’utiliser la technique du « carpet-bombing », il pourrait toujours lancer une attaque de 100 Gbps, mais cibler 100 hôtes simultanément. Cela se traduirait par chaque hôte recevant 1 Gbps de trafic, évitant ainsi presque tous les seuils de bande passante pour les fournisseurs de services, mais entraînant le même volume de trafic sur le réseau. Et bien que l’hôte spécifique que l’adversaire souhaite perturber ne subisse pas nécessairement l’ensemble du flux de trafic, il est possible, voire probable, que l’ensemble du bloc réseau subisse une dégradation ou des interruptions en raison de la saturation du pipe avec le trafic d’attaque DDoS.

En plus d’être petites en termes de bande passante, la plupart de ces attaques sont de très courte durée. Pas moins de 90 % d’entre elles durent une minute. En examinant cela du point de vue d’un adversaire potentiel, la cause probable de la courte durée provient des ressources disponibles pour lancer ces attaques. La plupart des services de booter/stresser permettent des attaques contre un seul hôte à un prix raisonnable, parfois gratuitement. Cependant, il n’y en a pas beaucoup qui permettent de cibler simultanément des IP sans payer un certain tarif premium. Ainsi, bon nombre des attaques de longue durée sont probablement perpétrées par des adversaires plus sophistiqués et persistants, plutôt que par le joueur opportuniste tentant de mettre hors ligne ses opposants. Du côté de la durée, NETSCOUT a vu une attaque durer jusqu’à 24 heures.

Fréquence et ciblage du « carpet-bombing » – Honeypot

Les honeypots de NETSCOUT enregistrent en moyenne 6000 attaques DDoS chaque jour, totalisant ainsi plus de 400 000 attaques depuis juillet 2023. Ce chiffre est conservateur car il n’inclut pas les attaques de « carpet-bombing » non TCP réflexion/amplification dans l’analyse. Par ailleurs, le système ATLAS de NETSCOUT catégorise en moyenne 740 attaques de ce type à haut débit/throughput chaque jour. Bien que ce nombre puisse sembler modeste par rapport aux observations des honeypots de l’entreprise, il est crucial de noter que ATLAS surveille les réseaux des fournisseurs de services, où un seuil de bande passante pourrait être dépassé après qu’un seul hôte a reçu 10 Gbps ou plus de trafic d’attaque DDoS.

https://public.flourish.studio/visualisation/16278774/  (Graphique interactif)

En moyenne, NETSCOUT observe 100 hôtes ciblés pour chaque attaque de « carpet-bombing », mais a vu jusqu’à 8 000 adresses IPv4 ciblées en même temps. Considérez maintenant un réseau de fournisseur de services avec un seuil de 10 Gbps pour l’alerte hôte et multipliez cela par une moyenne de 100 hôtes ciblés. Cela équivaudrait à une attaque de « carpet-bombing » de 1 Tbps, un phénomène récurrent observé à travers le globe. Après avoir échangé avec ses clients et lu des rapports de pairs, l’équipe ASERT a également observé une augmentation significative de ce type d’attaques au cours de 2023, avec des pourcentages d’augmentation annuelle entre 30 % et 50 %.

Ces attaques sont un problème mondial et affectent de nombreux pays différents, mais certains plus que d’autres. Dans la dernière moitié de 2023 et en 2024, les États-Unis, le Brésil, Hong Kong et la Chine figurent parmi les pays les plus ciblés par cette technique d’attaque.

https://public.flourish.studio/story/2174546/  (Graphique interactif en deux parties)

Conclusion

Les attaques de « carpet-bombing » ont imposé un changement de paradigme dans la détection et l’atténuation. Elles couvrent le globe dans le ciblage et englobent un éventail de vecteurs différents, ce qui en fait une menace très insidieuse nécessitant une attention particulière pour être éliminée comme menace. Les dernières innovations dans les systèmes NETSCOUT Sightline/TMS permettent aux fournisseurs de services d’appliquer de nouveaux mécanismes de détection pour détecter ce qui était auparavant non détecté. Des solutions toujours en ligne comme l’AED fournissent une protection en temps réel au niveau des paquets contre ces mêmes attaques. Le « carpet-bombing » n’est pas près de disparaître, il est donc important de s’assurer qu’une protection adéquate est en place pour gérer ces attaques distribuées saturant les réseaux.