Pour gérer vos consentements :

Sécurité : les DDoS applicatifs montent en puissance

8,7 Gbit par seconde, pour une attaque en déni de service visant une infrastructure IT cela peut apparaître peu, mais quand elle touche la couche applicative (niveau 7), c’est une toute autre affaire. Les attaques DDoS classiques ont comme caractéristiques un fort débit, de 100 à 500 Gbit/s pour les offensives les plus importantes. Les cybercriminels ont réussi à amplifier ces opérations de saturation grâce à des techniques de réflexion.

Mais dans le cas des DDoS visant les applications, il suffit d’un envoi limité de requête HTTP pour lancer des processus serveurs et les faire travailler de manière intensive dans l’optique de mettre à plat les ressources CPU et RAM. Sur ce type d’attaques, le débit constaté est en général de 1 à 2 Gbit/s.

Passer sous le radar des protections réseau

Imperva, société spécialisée en sécurité, s’est donc interrogée sur l’ampleur d’une attaque menée contre un de ses clients, la loterie nationale chinoise en l’occurrence. L’offensive a été menée à travers un botnet diffusant le malware Nitol (2700 adresses IP ont été répertoriées en Asie du Sud Est). Il a généré environ 163 000 requêtes http masquées pour faire croire qu’elles provenaient du moteur de recherche Baidu. Ces demandes apparemment légitimes ont établi des connexions TCP pour pousser des gros fichiers et elles ont été détectées par les systèmes de protection d’Imperva. Ces deniers ont inspecté le trafic et constaté une attaque de niveau 7 avec des pointes à 8,7 Gbit/s. Par contre, l’analyse réseau n’a donné aucun signe d’attaque (comme le montre le schéma ci-dessous). Voilà qui peut mettre à mal la stratégie de protection des DDoS mise en place par les entreprises.

Pour Igal Zeimpfman, responsable marketing chez Imperva, « les attaques DDoS sur la couche 7 de plus de 10 Gb par seconde vont poser des problèmes pour l’avenir ». Surtout que le botnet est encore actif, tout comme la méthode d’attaque menée contre le site chinois. Un exemple qui pourrait donner des idées à d’autres botnet et accentuer encore le niveau des attaques (avec des pointes entre 12 et 15 Gb par seconde).

A lire aussi :

Après DNS et NTP, les DDoS jouent sur TFTP

Conficker, Sality et Dorkbot principaux botnets DDoS au début 2016

Crédit Photo : Lightspring-Shutterstock

Recent Posts

ESN : DXC cherche (encore) à se vendre

DXC Technology confirme des discussions avec un "sponsor financier". La société de capital-investissement BPEA serait…

10 heures ago

Cybersécurité : pourquoi Pradeo s’offre la start-up rennaise Yagaan

En prenant le contrôle de Yagaan, Pradeo dit engager la consolidation entre acteurs français de…

13 heures ago

6 casques VR pour le métavers d’entreprise

Quelles portes d'entrée dans les métavers B2B ? Côté casques, voici six modèles d'autant de…

13 heures ago

ESN 2022 : le top 10 en France

L'année 2021 est marquée par une croissance de 12 % pour les ESN et ICT,…

14 heures ago

OpenStack assouplit sa politique de saut de version

OpenStack va simplifier le basculement entre des versions majeures non consécutives, avec les mêmes garanties…

17 heures ago

5 scale-up françaises de cybersécurité à retenir

De Ledger à HarfangLab, des entreprises et start-up françaises de sécurité cyber et protection de…

1 jour ago