Une bande passante de 3,47 Tb/s et de 340 millions de paquets par seconde… Cette attaque massive par déni de services (DDoS) est la plus forte officiellement enregistrée contre une infrastructure cloud. Des chiffres qui doivent interpeler DSI et RSSI alors que les attaques DDoS se multiplient de nouveau, certaines étant combinées à des attaques par ransomware.

Certes, les attaques par déni de services, ou attaques DDoS, font moins couler d’encre que les attaques par Ransomwares. Elles n’en demeurent pas moins une des principales préoccupations des cyberdéfenseurs et des acteurs du cloud. Le nombre d’attaques par déni de service distribué (DDoS) sont en pleine expansion. Plus de 10 millions d’attaques de ce type ont été comptabilisées à travers le monde internet en 2020, soit 1,6 million d’attaques de plus que l’année précédente. Atlas VPN révélait par exemple en novembre dernier avoir dû contrer 8.825 attaques par déni de service sur ses infrastructures durant la seule journée du 18 août 2021. Dans son dernier rapport, Microsoft explique avoir bloqué en moyenne 1 955 attaques par jour durant le second semestre 2021 et avoir au total contré 359 713 attaques DDoS différentes sur son infrastructure globale durant les 6 derniers mois (en croissance de 43% par rapport aux 6 premiers mois de 2021).

Les attaques DDoS sont donc redevenues très nombreuses, mais elles sont aussi plus massives. En 2017, Google avait dû contrer une attaque avec un pic de trafic à 2,54 Tb/s. En 2020, AWS avait absorbé une attaque DDoS de 2,3 Tb/s. En octobre dernier, Microsoft dévoilait avoir protégé un de ses clients européens contre une attaque DDoS imposant 2,4 Tb/s à ses infrastructures réseau. Le trafic malveillant provenait de 70 000 sources différentes (des machines zombies enrôlées dans un botnet).

Il y a quelques jours, Microsoft dévoilait avoir contré en Novembre dernier la plus grosse attaque DDoS encore jamais observée. Celle-ci a imposé à son infrastructure Azure un débit de 3,47 Tb/s – nouveau record mondial – et 340 millions de paquets par seconde !

La cible était un client asiatique et l’attaque a duré environ 15 minutes avant que les attaquants n’abandonnent la partie.
« Il s’agissait d’une attaque distribuée provenant d’environ 10 000 sources et de plusieurs pays du monde, dont les États-Unis, la Chine, la Corée du Sud, la Russie, la Thaïlande, l’Inde, le Vietnam, l’Iran, l’Indonésie et Taïwan. Les vecteurs d’attaque reposaient sur la réflexion UDP sur le port 80 à l’aide du protocole SSDP (Simple Service Discovery Protocol), du protocole CLDAP (Connection-less Lightweight Directory Access Protocol), du DNS (Domain Name System) et du NTP (Network Time Protocol), le tout constituant un pic unique » expliquent les ingénieurs réseau d’Azure.

Microsoft révèle également deux autres méga-attaques majeures en décembre, la première plafonnant à 3,25 Tb/s (une attaque UDP sur les ports 80 et 443) et la seconde à 2,55 Tb/s (là encore une attaque sur le port 443 via le protocole UDP). On notera que ces méga-attaques sont généralement de courte durée (il est probable que les cyberattaquants n’insistent pas lorsque les résultats escomptés ne se produisent pas immédiatement), celle à 3,25 Tb/s s’est quand même poursuivie durant plus d’une heure mais se composait en réalité de 4 attaques consécutives de courtes durées, chaque nouvelle attaque étant supérieure en intensité à la précédente.

On notera également que le protocole UDP est plus particulièrement utilisé par les jeux vidéos et les services de streaming, des cibles privilégiées pour de telles attaques DDoS.

Pour contrer ces attaques massives, Azure combine plusieurs techniques, la première d’entre elles étant de surdimensionner ses tuyaux pour absorber plus aisément les pics DDoS. Par ailleurs, le cloud de Microsoft a construit une plateforme de protection qui repose sur des pipelines distribués de détection et d’atténuation des attaques DDoS. Les ingénieurs réseau d’Azure expliquent notamment que « le service utilise une détection et une atténuation rapides des attaques de grande envergure en surveillant en permanence notre infrastructure en de nombreux points du réseau mondial de Microsoft. Le trafic est nettoyé à la périphérie du réseau Azure avant d’avoir un impact sur la disponibilité des services. Si nous identifions que le volume de l’attaque est important, nous tirons parti de l’échelle mondiale d’Azure pour défendre l’attaque à partir de son point d’origine. »

Une chose est sûre, les grands acteurs du cloud avec leurs réseaux surdimensionnés sont mieux armés pour défendre leurs clients contre ces attaques DDoS que ne le seront jamais les entreprises qui continuent de privilégier des infrastructures on-premises.

Pour en savoir plus : Azure DDoS Protection—2021 Q3 and Q4 DDoS attack trends