Une plateforme de crypto-monnaie a récemment été victime de l’une des plus grandes attaques par déni de service distribué jamais enregistrées, après que des acteurs malveillants l’ont bombardée de 15,3 millions de requêtes, a déclaré le réseau de diffusion de contenu Cloudflare.
Les attaques DDoS peuvent être mesurées de plusieurs manières, notamment par le volume de données, le nombre de paquets ou le nombre de requêtes envoyées chaque seconde. Les records actuels sont de 3,4 térabits par seconde pour les DDoS volumétriques – qui tentent de consommer toute la bande passante disponible pour la cible – et 809 millions de paquets par seconde et 17,2 millions de requêtes par seconde. Les deux derniers enregistrements mesurent la puissance des attaques de la couche application, qui tentent d’épuiser les ressources informatiques de l’infrastructure d’une cible.
La récente atténuation DDoS de Cloudflare a culminé à 15,3 millions de requêtes par seconde. Bien qu’en deçà de l’enregistrement, l’attaque a peut-être été plus puissante, car elle a été transmise via des requêtes HTTPS plutôt que via les requêtes HTTP utilisées dans l’enregistrement. Étant donné que les requêtes HTTPS sont beaucoup plus gourmandes en calcul, cette nouvelle attaque avait le potentiel de mettre beaucoup plus de pression sur la cible.
Les ressources nécessaires pour fournir le flux de requêtes HTTPS étaient également plus importantes, ce qui indique que les DDoSers deviennent de plus en plus puissants. Cloudflare a déclaré que le botnet responsable, comprenant environ 6 000 bots, a livré des charges utiles pouvant atteindre 10 millions de requêtes par seconde. L’attaque provenait de 112 pays, avec environ 15% de la puissance de feu de l’Indonésie, suivie de la Russie, du Brésil, de l’Inde, de la Colombie et des États-Unis.
“Dans ces pays, l’attaque provenait de plus de 1 300 réseaux différents”, ont écrit les chercheurs de Cloudflare Omer Yoachimik et Julien Desgats. Ils ont déclaré que l’afflux de trafic provenait principalement des centres de données, car les DDoSers s’éloignent des FAI de réseau résidentiel pour les FAI de cloud computing. Les principaux réseaux de centres de données impliqués comprenaient le fournisseur allemand Hetzner Online (numéro de système autonome 24940), Azteca Comunicaciones Colombia (ASN 262186) et OVH en France (ASN 16276). D’autres sources comprenaient des routeurs domestiques et de petites entreprises.
“Dans ce cas, l’attaquant utilisait des serveurs compromis sur des fournisseurs d’hébergement cloud, dont certains semblent exécuter des applications basées sur Java. Cela est remarquable en raison de la découverte récente d’une vulnérabilité (CVE-2022-21449) qui peut être utilisée pour le contournement de l’authentification dans un large éventail d’applications basées sur Java », a écrit Patrick Donahue, vice-président du produit chez Cloudflare, dans un e-mail. “Nous avons également vu un nombre important de routeurs MikroTik utilisés dans l’attaque, exploitant probablement la même vulnérabilité que le botnet Meris.”
L’attaque a duré environ 15 secondes. Cloudflare l’a atténué en utilisant des systèmes dans son réseau de centres de données qui détectent automatiquement les pics de trafic et filtrent rapidement les sources. Cloudflare n’a pas identifié la cible, sauf pour dire qu’il exploitait une rampe de lancement crypto, une plate-forme utilisée pour aider à financer des projets de financement décentralisés.
Les chiffres soulignent la course aux armements entre attaquants et défenseurs alors que chacun tente de surpasser l’autre. Il ne sera pas surprenant qu’un nouveau record soit établi dans les mois à venir.
Cette histoire est apparue à l’origine sur Ars Technica.
Plus de grandes histoires WIRED