Kevin Bock, le chercheur principal à l’origine de l’article d’août dernier, a déclaré que les attaquants DDoS avaient de nombreuses incitations à reproduire les attaques que son équipe avait théorisées.
“Malheureusement, nous n’avons pas été surpris”, m’a-t-il dit en apprenant les attaques actives. « Nous nous attendions à ce que ce ne soit qu’une question de temps avant que ces attaques soient menées dans la nature, car elles sont faciles et très efficaces. Peut-être le pire de tout, les attaques sont nouvelles ; par conséquent, de nombreux opérateurs n’ont pas encore mis en place de défenses, ce qui le rend d’autant plus attrayant pour les attaquants.
L’un des boîtiers de médiation a reçu un paquet SYN avec une charge utile de 33 octets et a répondu avec une réponse de 2 156 octets. Cela s’est traduit par un facteur de 65x, mais l’amplification a le potentiel d’être beaucoup plus grande avec plus de travail.
Les chercheurs d’Akamai ont écrit :
Les attaques TCP volumétriques nécessitaient auparavant qu’un attaquant ait accès à un grand nombre de machines et à une grande bande passante, normalement une arène réservée aux machines très puissantes avec des connexions à large bande passante et des capacités d’usurpation de source ou des botnets. En effet, jusqu’à présent, il n’y avait pas d’attaque par amplification significative pour le protocole TCP ; une petite quantité d’amplification était possible, mais elle était considérée comme presque négligeable, ou à tout le moins inférieure à la moyenne et inefficace par rapport aux alternatives UDP.
Si vous vouliez marier une inondation SYN avec une attaque volumétrique, vous auriez besoin de pousser un rapport de bande passante de 1: 1 vers la victime, généralement sous la forme de paquets SYN rembourrés. Avec l’arrivée de l’amplification du boîtier de médiation, cette compréhension de longue date des attaques TCP n’est plus vraie. Désormais, un attaquant n’a besoin que de 1/75e (dans certains cas) de la quantité de bande passante d’un point de vue volumétrique, et en raison de bizarreries avec certaines implémentations de middlebox, les attaquants obtiennent gratuitement une inondation SYN, ACK ou PSH + ACK.
Tempêtes de paquets infinies et épuisement complet des ressources
Un autre boîtier de médiation qu’Akamai a rencontré, pour des raisons inconnues, a répondu aux paquets SYN avec plusieurs paquets SYN qui lui sont propres. Les serveurs qui suivent les spécifications TCP ne doivent jamais répondre de cette façon. Les réponses du paquet SYN ont été chargées de données. Pire encore, le boîtier de médiation a complètement ignoré les paquets RST envoyés par la victime, qui sont censés mettre fin à une connexion.
La découverte de l’équipe de recherche de Bock selon laquelle certains boîtiers de médiation répondront lorsqu’ils recevront un paquet supplémentaire, y compris le RST, est également préoccupante.
“Cela crée une tempête de paquets infinie”, ont écrit les chercheurs universitaires en août. “L’attaquant suscite une seule page de blocage à une victime, ce qui provoque une RST de la victime, ce qui provoque une nouvelle page de blocage de l’amplificateur, ce qui provoque une RST de la victime, etc. Le cas soutenu par la victime est particulièrement dangereux pour deux les raisons. Premièrement, le comportement par défaut de la victime soutient l’attaque contre elle-même. Deuxièmement, cette attaque amène la victime à inonder sa propre liaison montante tout en inondant la liaison descendante.
Akamai a également fourni une démonstration montrant les dommages qui se produisent lorsqu’un attaquant cible un port spécifique exécutant un service basé sur TCP.
“Ces paquets SYN dirigés vers une application/un service TCP feront que cette application tentera de répondre avec plusieurs paquets SYN+ACK et maintiendra les sessions TCP ouvertes, en attendant le reste de la poignée de main à trois”, a expliqué Akamai. “Comme chaque session TCP se déroule dans cet état semi-ouvert, le système consommera des sockets qui à leur tour consommeront des ressources, potentiellement jusqu’à l’épuisement complet des ressources.”
Malheureusement, les utilisateurs finaux typiques ne peuvent rien faire pour bloquer l’amplification DDoS exploitée. Au lieu de cela, les opérateurs de middlebox doivent reconfigurer leurs machines, ce qui est peu probable dans de nombreux cas. À défaut, les défenseurs du réseau doivent changer leur façon de filtrer et de répondre aux paquets. Akamai et les chercheurs universitaires fournissent des instructions beaucoup plus détaillées.
Cette histoire est apparue à l’origine sur Ars Technica.
Plus de grandes histoires WIRED
