Crédit : Dreamstime
Google Cloud a affirmé avoir en fait obstrué la plus grande couche 7 ( HTTPS) Attaque DDoS à ce jour après qu’un client Cloud Armor a été ciblé par une série d’attaques qui ont culminé à 46 millions de requêtes par seconde (rps).
Le fournisseur a déclaré que l’attaque, qui s’est produite le 1er juin, était au moins 76 % plus importante que l’enregistrement HTTPS DDoS précédemment signalé et a révélé des caractéristiques qui la lient à la famille d’attaques Mēris.
Le géant de la technologie a déclaré que Cloud Armor Adaptive Defense était capable d’identifier et d’évaluer le trafic au début du cycle de vie de l’attaque du client, bloquant l’attaque tout en garantissant que le service du client reste en ligne. L’attaque survient au milieu d’une activité DDoS croissante ciblant les organisations alors que les opposants utilisent de plus en plus d’installations et de diversité dans les projets.
L’attaque DDoS HTTPS a culminé à 46 millions de demandes par seconde
Dans un article de blog, Google Cloud a écrit que, vers 9 h 45, heure du Pacifique, le 1er juin 2022, une attaque de plus de 10 000 rps a commencé à cibler l’équilibreur de charge HTTPS d’un consommateur. « Huit minutes plus tard, l’attaque est passée à 100 000 requêtes par seconde », a ajouté la société.
Cloud Armor a produit une alerte contenant la signature de l’attaque en examinant le trafic et une suggestion de directive pour bloquer la signature destructrice, Google Cloud a déclaré.
Le groupe de sécurité réseau du client a déployé la directive recommandée dans sa politique de sécurité, et il a commencé à bloquer le trafic d’attaque. « Ils ont choisi l’action » étrangler « plutôt qu’une action » refuser « pour réduire les possibilités d’influence sur le trafic authentique tout en limitant considérablement la capacité d’attaque en supprimant la majorité du volume d’attaque à la périphérie du réseau de Google », a écrit Google Cloud.
« Dans les deux minutes qui ont suivi, l’attaque a commencé à augmenter, passant de 100 000 rps à un pic de 46 millions de rps. Étant donné que Cloud Armor bloquait actuellement le trafic d’attaque, la charge de travail cible a continué à fonctionner de manière générale. »
L’attaque a alors commencé à diminuer en taille, se terminant finalement 69 minutes plus tard à 10h54. « L’agresseur a probablement déterminé qu’il n’avait pas l’effet préféré tout en engageant des dépenses importantes pour exécuter l’attaque », Google Cloud a déclaré.
« L’attaque illustre deux schémas : la taille des attaques DDoS continue d’augmenter considérablement, les méthodes d’attaque qui continuent d’évoluer, tirant parti de tout nouveaux types de services vulnérables à partir desquels lancer des attaques », Emil Kiner, chef de produit senior chez Google Cloud, informe le CSO.
La nouvelle attaque éclipse les précédentes campagnes HTTPS DDoS
Les 46 million de rps éclipse la plus grande attaque HTTPS DDoS jamais enregistrée sur bande. En juin 2022, Cloudfare a repéré et atténué une attaque de 26 millions de rps qui découlait d’un petit mais puissant botnet de 5 067 appareils.
En 2021, la même entreprise a repoussé une attaque DDoS alors record qui a culminé à 17,2 millions de rps, avant d’arrêter une attaque un peu plus petite (15 millions de rps) en avril 2022.
Qualités notables de la plus grande attaque HTTPS DDoS, liens vers le botnet Mēris
En plus d’un volume de trafic considérablement élevé, Google Cloud a souligné de nombreuses autres qualités remarquables dans l’attaque. Il a déterminé 5 256 adresses IP sources de 132 pays ajoutant à l’attaque, les quatre principaux pays contribuant à environ 31 % du trafic global.
Kiner dit à CSO que ces pays étaient le Brésil, l’Inde, la Russie et l’Indonésie. L’attaque a tiré parti des demandes chiffrées, dont la création aurait nécessité des ressources informatiques incluses, a précisé Google Cloud.
« Bien qu’il soit essentiel de mettre fin au chiffrement des fichiers pour inspecter le trafic et atténuer efficacement l’attaque, l’utilisation du pipeline HTTP avait besoin de Google pour terminer pas mal de poignées de main TLS », a ajouté la société.
Google Cloud a estimé que 22 % (1 169) des adresses IP sources représentaient des nœuds de sortie Tor, bien que le volume de requêtes provenant de ces nœuds ne représente que 3 % du trafic d’attaque.
« Bien que nous pensions que la participation de Tor à l’attaque était accessoire en raison de la nature des services vulnérables, même à 3 % du pic (supérieur à 1,3 million de rps), notre analyse montre que les nœuds de sortie de Tor peut envoyer une quantité considérable de trafic indésirable vers des applications et des services Web », a écrit Google Cloud.
De manière remarquable, Google Cloud a déclaré que la circulation géographique et les types de services non sécurisés exploités correspondent à la famille d’attaques Mēris, connue pour des projets DDoS record qui abusent de proxys non sécurisés pour masquer la véritable origine des attaques.
Les attaques DDoS augmentent, présentent un mélange abondant de volume et de période
Normalement, l’activité DDoS augmente, impactant les organisations dans tous les secteurs et zones géographiques. Le rapport d’analyse des risques mondiaux H1 2022 de Radware a révélé qu’au cours des 6 premiers mois de 2022, la variété d’événements DDoS malveillants atténués par client a augmenté de 203 % par rapport aux six premiers mois de 2021, et de 239 % par rapport à les six derniers mois de 2021.
« Les schémas d’attaque DDoS ont tendance à être plutôt cycliques dans leur format, bien qu’il existe un schéma caché avec le temps d’augmentation du volume, que ce soit en bits par seconde (bps), en packages par seconde (pps), ou demandes par seconde (rps) », Rik Turner, analyste principal senior chez Omdia, informe CSO.
Cette tendance à la hausse est en partie décrite par la capacité des agresseurs à exploiter toujours plus d’infrastructures, c’est-à-dire des quantités plus élevées de bots à partir desquels lancer des attaques, et le calendrier de DDoS en tant que service, qui utilise une infrastructure qui peuvent être loués pour installer une attaque aussi longtemps que l’agresseur le souhaite, ajoute-t-il.
« Cela dit, les attaques volumétriques ne sont qu’une gamme d’exploits, et bien que leur taille totale continue d’augmenter avec de nouveaux volumes records révélés pratiquement chaque année, il n’est pas vrai que la part des attaques DDoS qui sont volumétriques augmente de manière linéaire », poursuit Turner.
Certaines années, la proportion d’attaques volumétriques diminue, même si les volumes optimaux continuent d’augmenter, en raison du fait que les assaillants peuvent essayer de nouvelles variantes d’approche d’attaque, dit-il.
« Il vaut également la peine de garder un œil sur la durée typique d’une attaque DDoS, car il se peut généralement qu’un volume monstrueux soit libéré pendant quelques minutes seulement, juste pour montrer ce que les assaillants peuvent faire, puis suivi d’une rançon besoin. »
D’autres types d’attaques, consistant en des attaques de la couche application (couche 7), sont souvent faibles et lentes car elles souhaitent éviter d’être détectées et découvrir quelles défenses la cible a en place et combien de temps il faut les activer, dit Turner.
« En fin de compte, les attaques DDoS présentent un mélange abondant de volume et de période, ce qui rend plus difficile leur résistance car vous ne savez jamais exactement quels types arriveront dans vos installations. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
