Du CERT-FR (1) en passant par les blogs spécialisés (Stéphane) Bortzmeyer et Exploitability, il est possible de relever l'émergence d'une tendance qualifiée de "hausse spectaculaire" (2), et portant sur des attaques par déni de services distribués (3) massives. Cette tendance s'appuie sur le protocole NTP (Network Time
Protocol) et exploite des propriétés de réflexion couplées à un phénomène d'amplification redoutable.
Comme il est décrit dans le bulletin d'actualité
CERTA-2014-ACT-003 (4), le protocole NTP est "utilisé pour la synchronisation des horloges
d'équipements informatiques (serveurs, postes de travail,
équipements d'infrastructure, etc.) à travers le réseau. Ce
protocole est important car le fonctionnement de nombreux
services s'appuie sur la notion de temps, indispensable pour
permettre la corrélation des actions réalisées au niveau du
système d'information".
Si les DDoS de plusieurs dizaines de Gb/s font l'actualité depuis deux voire trois années, avec le précédent record de l'attaque Spamhaus début 2013 (5), celles-ci s'appuyaient sur les protocoles SNMP et, principalement, DNS. Or, depuis la fin d'année 2013, on note l'apparition d'attaques encore plus massives utilisant le NTP, de l'ordre de plusieurs centaines de Gb/s, qui exploitent l'implémentation partielle voire défaillante comme vulnérabilité de ces divers protocoles. Résultat, les attaquants profitent d'un effet d'aubaine en s'appuyant sur les phénomènes de réflexion et d'amplification (6) qui permettent d'augmenter significativement les débits d'une attaque tout, en réduisant significativement le nombre de serveurs utilisés pour la mener.
Le lundi 10 février 2014, le prestataire de cloud Cloudfare a eu ainsi la nécessité de contrer une attaque massive inédite jusqu'alors. Il a aussi eu le loisirs de l'analyser ensuite et d'en tirer certaines enseignements proprement éloquents. Là où il a fallu 30 956 serveurs de résolution DNS pour générer les 300 Gb/s de l'attaque ayant ciblé Spamhaus, celle du mois dernier n'a seulement nécessité "que" 4 529 serveurs NTP portant le pic à 400 Gb/s (7). L'amélioration quantitative est sensible puisqu'en se servant de seulement 1/7ème de machines, les attaquants obtiennent 33% de trafic indésirable supplémentaire.
Pour un attaquant, il y a donc un véritable bénéfice à utiliser les effets de réflexion qui combinent de l'amplification. Si l'utilisation du protocole NTP apparaît pertinente dans ce cadre, il est cependant prévisible qu'elle ne soit qu'une étape dans l'évolution technique des dénis de service distribués massifs. Car si l'utilisation du DNS permet l'obtention d'une amplification d'un facteur 50 (8), celle du NTP autorise une amplification d'un facteur 200. Reste qu'avec une amplification d'un facteur 650 (!), le protocole SNMP s'annonce "prometteur" et des attaques dépassant le Tb/S (Terabit/seconde) pourraient notablement marquer l'année 2014.
Le lundi 10 février 2014, le prestataire de cloud Cloudfare a eu ainsi la nécessité de contrer une attaque massive inédite jusqu'alors. Il a aussi eu le loisirs de l'analyser ensuite et d'en tirer certaines enseignements proprement éloquents. Là où il a fallu 30 956 serveurs de résolution DNS pour générer les 300 Gb/s de l'attaque ayant ciblé Spamhaus, celle du mois dernier n'a seulement nécessité "que" 4 529 serveurs NTP portant le pic à 400 Gb/s (7). L'amélioration quantitative est sensible puisqu'en se servant de seulement 1/7ème de machines, les attaquants obtiennent 33% de trafic indésirable supplémentaire.
Pour un attaquant, il y a donc un véritable bénéfice à utiliser les effets de réflexion qui combinent de l'amplification. Si l'utilisation du protocole NTP apparaît pertinente dans ce cadre, il est cependant prévisible qu'elle ne soit qu'une étape dans l'évolution technique des dénis de service distribués massifs. Car si l'utilisation du DNS permet l'obtention d'une amplification d'un facteur 50 (8), celle du NTP autorise une amplification d'un facteur 200. Reste qu'avec une amplification d'un facteur 650 (!), le protocole SNMP s'annonce "prometteur" et des attaques dépassant le Tb/S (Terabit/seconde) pourraient notablement marquer l'année 2014.
(1) précédemment CERTA et rebaptisé CERT-FR en janvier 2014
(3) aussi appelées DDoS - Lire fiche Wikipédia
Aucun commentaire:
Enregistrer un commentaire