vendredi 28 février 2014

400 Gigabits par seconde, c'est beaucoup pour un DDOS?

Il y a un peu moins d'un an, je titrais un article de blog "300 Gigabits par seconde, c'est beaucoup pour un DDOS"? Il y a de cela deux semaines, CloudFlare donnait de nouveaux chiffres alarmant, citant une attaque à 400Gbit/s.

Cette info m'a inspiré deux réflexions. La première concerne  le messager: on sait que cloudflare vend de la protection antiDDos, ils sont donc les plus intéressés de citer des DDos de grande ampleur en raison de la publicité que cela leur fait. Les chiffres ont en effet été repris par un certain nombre de sites d'infos techniques avec des liens vers cloudflare. Vu les moyens mis en oeuvre pour l'attaque contre SpamHaus pour atteindre 300GBit/s, ce chiffre de 400 avait une odeur de suspicion. La seconde réflexion concerne les motivations de la personne effectuant ce DDos qui ne sont jamais données, non plus que la cible. Nous aurions une personne (ou un groupe de personnes) capable de lancer le DDos le plus puissant du monde, sans raison, ni motivations, ni cible. Ce qui semble étrange. J'ai donc laissé de côté un peu cette info, pensant être en face d'un "coup" marketing plus que technique.

Puis des informations techniques sont tombées, extrêmement intéressantes.

Tout d'abord, sur la méthode employée. Comme attendu, les attaquants ont utilisés de l'amplification. Au lieu d'attaquer le serveur, on requête un serveur tiers avec l'IP source de la victime, et on s'arrange pour que la réponse de ce serveur tiers soit plus grosse que la requête. Double effet: on masque la véritable IP de l'attaquant, et on gagne en puissance de feu^W débit. Il y a 6 mois, on entendait beaucoup parler d'amplification par les serveurs de jeux (par exemple à la GreHack). Un nouvel amplificateur particulièrement puissant a été trouvé: le NTP. Un bon article de Bortzmeyer explique cette attaque. Je me demande si des gens ont scanné Internet à la recherche de "chargen", ça pourrait être très pratique. [EDIT : effectivement : Cf https://isc.sans.edu/diary/A+Chargen-based+DDoS%3F+Chargen+is+still+a+thing%3F/15647]

Ensuite, des chiffres équivalents ont été donnés par d'autre fournisseurs de service comme OVH, ce qui tend à prouver la réalité de ces chiffres élevés.

Enfin, un document interne de CloudFlare donne beaucoup d'informations sur l'attaque (contrairement à leur premier communiqué). L'amplification NTP permet de faire un x200 en débit (!!!). L'autre information percutante, c'est celle-ci "Remarkably, it is possible that the attacker used only a single server running on a network that allowed source IP address spoofing to initiate the requests." En x200, il suffit de deux cartes réseaux à 1Gbit/s pour atteindre 400GBit/s... CloudFlare compare ensuite l'attaque au DDos qui a eu lieu contre spamhaus (qui avait sollicité de gros moyens) avec celle-ci. Il a suffit à l'attaquant 7 fois moins de machines amplificatrics pour un résultat 33% supérieur. Finalement, l'attaque à 400Gbit/s est relativement plus simple que celle contre SpamHaus, permettant d'imaginer ce DDos comme un test grandeur nature.

Pour terminer, il semblerait que le prochain amplificateur soit trouvé avec  snmp. Les premiers calculs indiquent une amplification maximale de 650! S'il se réalise, le prochain DDos dépassera le Terabit/s. Comme disent les anglais: "wait and see".

Aucun commentaire:

Enregistrer un commentaire