Les attaques DDoS de plus en plus puissantes

Le spécialiste de la gestion de la sécurité dans le datacenter Arbor Networks a réalisé, au cours du second trimestre 2012, une intéressante étude sur l’évolution des attaques informatiques DDoS (Distributed Denial of Service).

Des attaques DoS au DDoS

Rappelons tout d’abord que l’attaque par déni de service vise à bloquer un site web, en inondant le réseau afin de perturber la connexion avec le site en vue d’en interdire l’accès. Une attaque par déni de service distribué démultiplie l’origine du DoS en multipliant les sources d’attaques PC et serveurs appelées ‘zombies’.

Les attaques DoS ne sont généralement pas très sophistiquées, il suffit d’identifier l’adresse IP de l’émetteur de l’attaque afin de la bloquer au niveau du parefeu. Les attaques DDoS sont plus difficiles à contrer de par la multiplication des émetteurs et donc des adresses IP à bloquer. Ainsi en DDoS l’attaque continue alors qu’elle est identifiée et théoriquement bloquée. L’utilisation de vecteurs multiples empêche souvent de disposer d’une visibilité suffisante sur l’origine des menaces et rend la tâches des équipes de sécurité plus délicate.

A cela s’ajoute un phénomène qui vient troubler depuis quelques temps le monde de la sécurité. Les attaques DDoS étaient le fait de hackers, parfois d’hakctivistes plus ou moins engagés ou affirmant l’être, comme celles qui s’affichent sous la bannière des Anonymous, et même plus sournoisement d’entreprises qui visent leurs concurrents. Mais des attaques récentes, très sophistiquées et ciblées, comme celles qui visent les projets nucléaires de l’Iran, émanent de toute évidence d’organisation nationales, voire militaires.

Les attaques selon leur taille…

Dans tous les cas, les attaques DDoS ne cessent de se multiplier. Arbor Networks adopte un classement original de ces attaques, selon la taille du débit, moins de 1Gb/s, de 1 à 10Gb/s, et plus de 10Gb/s. La taille moyenne des attaques ne cesse d’augmenter, elle est passée de 1,23Gb/s en 2011 à 1,56Gb/s en juin 2012.

Si les petites attaques, de moins de 1Gb/s, s’affichent en baisse régulière, elles ont quand même représenté 70,5% des attaques en 2011 ! En revanche, leur taille tend à augmenter : 20,1% des attaques s’affichaient entre 1 et 2Gb/s en 2012.

… et leur durée

Retournement de situation du coté des attaques qualifiées de super-puissantes (plus de 10Gb/s) : alors que la tendance était à un net recul de ces attaques ces dernières années, elles bondissent de 105% en 2012 ! Le record de l’année est détenu par une attaque DDoS qui a tenu les 100,84Gb/s durant 20 minutes.

Ce record est un bon exemple pour évoquer la durée des attaques DDoS. Si la durée moyenne d’une attaque se situe aux alentours de 3h28 minutes, 78% des attaques durent moins de 1 heure. La tendance est également au recul des attaques de plus de 12 heures, qui représentent 3,35% des agressions en 2012.

Une attaque peut en cacher une autre

Dernier enseignement de l’étude Arbor Networks, certaines attaques sont destinées à faire diversion ! Les attaques sont même de plus en plus souvent couplées : une attaque de masse, destinées à saturer la bande passante, ou les tables d’états ou les parefeux, cache en réalité une attaque plus furtive qui va viser les serveurs applicatifs, donc plus efficace car plus difficile à détecter.

Nous noterons enfin que le port 80 (protocole HTTP) demeure la cible principale, avec 29% des attaques en 2012, et qu’un nouveau port a fait son apparition, le port 3074 de la console Xbox (0,76% des attaques).

Crédit photo © shutterstock