DDoS : 9 attaques sur 10 sont lancées depuis des services à la demande

Christophe Lagane,

Selon Imperva Incapsula, la fréquence des attaques DDoS a quasiment doublé en un an. Et les techniques pour contourner les systèmes de sécurité se multiplient.

Entre le 1er avril 2015 et le 31 mars 2016, la firme de sécurité Imperva Incapsula a traité 445  attaques DDoS par semaine en moyenne. Un volume qui a quasiment doublé au cour de l’année. A la fin du 1er trimestre 2016, la firme constatait quelque 615 attaques hebdomadaires visant les applications et 442 ciblant le réseau. Autant de données disponibles dans le « DDoS Threat Landscape Report » que vient de publier Incapsula.

Incapsula ddos volume

La firme constate notamment que plus de 9 attaques DDoS sur 10 (93 %) sont lancées à partir de services à la demande. Contre moins de 64% un an auparavant. Il est à craindre que, face à leur succès, les services d’attaques par déni de service distribué en ligne ne se multiplient. D’autre part, sur l’année, si la majorité des victimes (57,3%) n’est attaquée qu’une seule fois, plus d’un quart (26,7%) l’est entre 2 et 5 fois. Et 16% des victimes doivent y faire face plus de 5 fois. Une tendance qui va croissante. Les attaques sur une même cible sont passées de 29,4% au 3e trimestre 2015 à près de 50% au 1er trimestre 2016.

Une attaque à 470 Gbit/s

Cette multiplication des attaques s’accompagne d’une hausse de leur intensité. Et les 200 Gbit/s de bande passante pour noyer les victimes ne sont désormais plus considérés comme exceptionnels. Incapsula vient d’ailleurs d’atteindre un pic de 470 Gbit/s au 2e trimestre 2016 (contre 325 Gbit/s pour le précédent record, fin 2015). Il s’agissait de l’attaque d’un site d’une compagnie chinoise de jeux d’argent dont la firme de sécurité a détaillé le cas. Vraisemblablement, les attaquants ont multiplié les charges pour atteindre à la fois des débits et des taux élevés de transfert de paquets.

Incapsula ddos capacité

Une nouvelle méthode d’attaque DDoS qui vise à dépasser les capacités d’atténuation des appliances dédiées. « La majorité d’entre elles ne peut traiter des charges qui se montent en millions de paquets par seconde », avance Incapsula dans la synthèse de son rapport. Et de constater la généralisation des assauts de cette intensité. « De façon alarmante, ces attaques sont de plus en plus répandues. Au 1er trimestre 2016, nous avons atténué des attaques à plus de 80 Mpps (millions de paquets par seconde) tous les huit jours. Plusieurs ont dépassé les 100 Mpps, avec un pic à 300 Mpps. »

Contourner les filtres de sécurité

Le recours à la multiplication des paquets sur les couches applicatives n’est pas la seule technique des assaillants pour essayer de contourner les systèmes de protection. Les criminels  inondent également leurs cibles de larges requêtes HTTP (POST) malformées. « L’attaque exploite une faiblesse des configurations des systèmes d’atténuation des DDoS, mettant en évidence le degré de compréhension que les assaillants ont maintenant du fonctionnement interne des solutions anti-DDoS », souligne Igal Zeifman, responsable marketing chez Incapsula.

La firme souligne également le recours de plus en plus fréquent à des bots (réseaux de PC zombies), qui se font passer pour des navigateurs légitimes auprès des filtres de sécurité, y compris en simulant l’acceptation des cookies et l’exécution du Javascript. Résultat, en moyenne, Incapsula constate que 24% des attaques de ce type franchissent allègrement plusieurs tests de sécurité anti-DDoS de base. Un taux qui a grimpé à plus de 36% en début d’année. De nouveaux records en perspective pour les dénis de service en 2016 ?

Lire également
Bientôt un Bitcoin pour rémunérer les attaques DDoS ?
Attaques DDoS : bluffer suffit pour bien gagner
Sécurité : Imperva est à vendre

Crédit Photo : Lightspring-Shutterstock