Pourquoi les petits botnets peuvent générer d’énormes attaques DDoS

Pourquoi les petits botnets peuvent générer d’énormes attaques DDoS


Un site a été confronté à un tsunami de requêtes HTTPS provenant d’un botnet de seulement 5000 systèmes. Explications.

Dans les botnets, l’important n’est pas forcément la taille, comme le montre une récente attaque DDoS détectée par le prestataire Cloudflare. La semaine dernière, l’un de ses clients a été confronté à un tsunami de requêtes HTTPS. En quelques minutes, son site web a été confronté à 26 millions de requêtes par seconde. Un record historique. Le maximum observé jusqu’alors était de 15 millions de requêtes par seconde.

Attaque DDOS par requêtes HTTPS / Cloudflare

Cette attaque est d’autant plus étonnante qu’elle est venue d’un botnet relativement petit, constitué de seulement 5067 systèmes. Comparé à d’autres réseaux de zombies, qui peuvent embrigader des centaines de milliers d’appareils, c’est donc un nain. « Nous suivons un autre botnet beaucoup plus grand, de plus de 730 000 appareils. Mais ce dernier est moins puissant. Il n’a pas été en mesure de générer plus d’un million de requêtes par seconde, soit environ 1,3 requête par seconde en moyenne par appareil », précise Cloudflare. Autrement dit, le petit botnet était en moyenne 4 000 fois plus puissant.

Comment expliquer cette puissance de feu ? La performance d’une attaque DDoS dépend en grande partie de la technique sous-jacente utilisée. Les plus courantes sont les attaques protocolaires, volumétriques et applicatives. Les premières vont tenter de provoquer une interruption de service en épuisant les ressources utilisées pour gérer le protocole. L’exemple le plus connu est le « SYN Flood », où l’attaquant envoient en grande quantité des paquets TCP de synchronisation. Les attaques volumétriques, de leur côté, vont essayer de saturer la bande passante d’un site, l’empêchant d’accéder à Internet. Un cas typique est l’attaque par amplification DNS.

Le summum: l’attaque applicative

Enfin, les attaques applicatives tentent d’épuiser les ressources pour créer un déni de service. Elles s’appuient souvent sur des requêtes HTTP ou HTTPS, le web étant l’application la plus courante sur Internet. Pour le pirate, une telle attaque est assez coûteuse à réaliser, les requêtes HTTP/HTTPS nécessitant plus de puissance de calcul. Mais elle est beaucoup plus efficace, car chaque requête peut provoquer le chargement de plusieurs fichiers et l’exécution de requêtes de base de données. Cela dépend de l’architecture du service web ciblé.

Si le petit botnet de 5067 systèmes a pu réaliser une telle attaque, c’est parce qu’il était constitué uniquement de serveurs et de machines virtuelles, et non pas de petits routeurs ou d’objets connectés divers, comme on peut trouver dans d’autres botnets. Ces systèmes ont d’importantes capacités de calcul et sont donc très adaptés pour réaliser des attaques applicatives.

Source :

Cloudflare



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.