Google a attnu l’attaque DDoS la plus importante ce jour, avec un pic plus de 398 millions de requtes par seconde (rps). L’attaque a utilis une nouvelle technique, HTTP/2 Rapid Reset, base sur le multiplexage de flux.
Au cours des dernires annes, l’quipe de rponse DDoS de Google a observ que les attaques par dni de service distribu (DDoS) augmentaient de manire exponentielle. L’anne dernire, ils ont bloqu la plus grande attaque DDoS enregistre l’poque. En aot dernier, ils ont stopp une attaque DDoS encore plus importante (7 fois plus importante) qui utilisait galement de nouvelles techniques pour tenter de perturber les sites web et les services Internet.
Cette nouvelle srie d’attaques DDoS a atteint un pic de 398 millions de requtes par seconde (rps) et s’est appuye sur une nouvelle technique HTTP/2 de « Rapid Reset » (rinitialisation rapide) base sur le multiplexage de flux qui a affect de nombreuses entreprises d’infrastructure Internet. En revanche, l’attaque DDoS la plus importante enregistre l’anne dernire a atteint un pic de 46 millions de requtes par seconde.
Pour donner une ide de l’chelle, cette attaque de deux minutes a gnr plus de requtes que le nombre total d’articles consults par Wikipdia pendant tout le mois de septembre 2023.
La vague d’attaques la plus rcente a dbut fin aot et se poursuit encore aujourd’hui. Elle vise les principaux fournisseurs d’infrastructure, notamment les services Google, l’infrastructure Google Cloud et ses clients. Bien que ces attaques soient parmi les plus importantes que Google ait connues, son infrastructure mondiale d’quilibrage de la charge et d’attnuation des attaques DDoS a permis ses services de continuer fonctionner. Afin de protger Google, ses clients et le reste de l’internet, ils ont contribu mener un effort coordonn avec des partenaires de l’industrie pour comprendre les mcanismes de l’attaque et collaborer sur les mesures d’attnuation qui peuvent tre dployes en rponse ces attaques.
En gnral, les attaques DDoS tentent de perturber les sites web et les services qui font face l’internet, en les rendant inaccessibles. Les attaquants dirigent des quantits considrables de trafic Internet vers les cibles, ce qui peut puiser leur capacit traiter les requtes entrantes.
Les attaques DDoS peuvent avoir des consquences importantes pour les organisations victimes, notamment la perte d’activit et l’indisponibilit d’applications critiques, qui cotent souvent du temps et de l’argent aux victimes. Le temps ncessaire pour se remettre d’une attaque DDoS peut s’tendre bien au-del de la fin de l’attaque.
Google : enqute et rponse
L’enqute de Google a rvl que l’attaque utilisait une nouvelle technique de « rinitialisation rapide » qui exploite le multiplexage de flux, une fonctionnalit du protocole HTTP/2 largement adopt.
Ils ont pu attnuer l’attaque la priphrie du rseau de Google, en tirant parti de l’investissement important dans la capacit de priphrie pour garantir que ses services et ceux de leurs clients ne soient pas affects. Au fur et mesure qu’ils comprenaient mieux la mthodologie de l’attaque, ils ont dvelopp un ensemble de mesures d’attnuation et mis jour les proxies et les systmes de dfense contre les dnis de service afin d’attnuer efficacement cette technique. tant donn que l’Application Load Balancer et Cloud Armor de Google Cloud utilisent le mme matriel et la mme infrastructure logicielle que Google pour ses propres services Internet, les clients de Google Cloud qui utilisent ces services bnficient d’une protection similaire pour leurs applications et services Web.
Coordination et rponse de l’industrie pour CVE-2023-44487
Peu aprs avoir dtect la premire de ces attaques en aot, Google a appliqu des stratgies d’attnuation supplmentaires et a coordonn une rponse intersectorielle avec d’autres fournisseurs de services cloud et mainteneurs de logiciels qui mettent en uvre la pile de protocoles HTTP/2. Ils ont chang des informations sur l’attaque et les mthodes d’attnuation en temps rel, au fur et mesure que les attaques se droulaient.
Cette collaboration intersectorielle a dbouch sur des correctifs et d’autres techniques d’attnuation utiliss par de nombreux grands fournisseurs d’infrastructures. Cette collaboration a permis d’ouvrir la voie la divulgation responsable et coordonne de la nouvelle mthode d’attaque et de la vulnrabilit potentielle d’une multitude de proxys, de serveurs d’application et d’quilibreurs de charge commerciaux et code source ouvert.
La vulnrabilit collective cette attaque est rpertorie sous le nom de CVE-2023-44487 et a t dsigne comme une vulnrabilit de gravit leve avec un score CVSS de 7,5 (sur 10).
Google exprime sa sincre gratitude tous les acteurs du secteur qui ont collabor, partag des informations, acclr la mise en place de correctifs dans leur infrastructure et mis rapidement des correctifs la disposition de leurs clients.
Qui est susceptible d’tre touch et que faire ?
Toute entreprise ou personne qui diffuse sur Internet une charge de travail base sur le protocole HTTP peut tre menace par cette attaque. Les applications web, les services et les API sur un serveur ou un proxy capable de communiquer l’aide du protocole HTTP/2 pourraient tre vulnrables. Les organisations doivent vrifier que les serveurs qu’elles utilisent et qui prennent en charge le protocole HTTP/2 ne sont pas vulnrables, ou appliquer les correctifs du fournisseur pour CVE-2023-44487 afin de limiter l’impact de ce vecteur d’attaque. Si vous grez ou exploitez votre propre serveur compatible HTTP/2 (open source ou commercial), vous devez immdiatement appliquer un correctif du fournisseur concern lorsqu’il est disponible.
Prochaines tapes
Il est difficile de se dfendre contre des attaques DDoS massives telles que celles dcrites ici. Avec ou sans correctifs, les organisations devraient raliser d’importants investissements d’infrastructure pour maintenir leurs services en activit face des attaques de taille moyenne ou plus importante. Au lieu d’assumer elles-mmes ces dpenses, les entreprises qui utilisent des services sur Google Cloud peuvent profiter de l’investissement de Google dans la capacit l’chelle mondiale du rseau Cross-Cloud pour fournir et protger leurs applications.
Les clients de Google Cloud qui exposent leurs services l’aide de l’Application Load Balancer mondial ou rgional bnficient de la protection DDoS toujours active de Cloud Armor, qui permet d’attnuer rapidement les attaques exploitant des vulnrabilits telles que CVE-2023-44487.
Mme si la protection DDoS permanente de Cloud Armor permet Google d’absorber efficacement la plupart des centaines de millions de requtes par seconde la priphrie du rseau de Google, des millions de requtes indsirables par seconde peuvent toujours passer. Pour se protger contre cette attaque et d’autres attaques de couche 7, Google recommande galement le dploiement de rgles de scurit personnalises Cloud Armor avec des rgles de limitation de dbit proactives et une protection adaptative alimente par l’IA pour dtecter, analyser et attnuer le trafic d’attaque de manire plus complte.
Source : Google
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Les attaques DDoS malveillantes ont augment de 150 % en 2022, d’aprs un rcent rapport de Radware