Cette info m'a inspiré deux réflexions. La première concerne le messager: on sait que cloudflare vend de la protection antiDDos, ils sont donc les plus intéressés de citer des DDos de grande ampleur en raison de la publicité que cela leur fait. Les chiffres ont en effet été repris par un certain nombre de sites d'infos techniques avec des liens vers cloudflare. Vu les moyens mis en oeuvre pour l'attaque contre SpamHaus pour atteindre 300GBit/s, ce chiffre de 400 avait une odeur de suspicion. La seconde réflexion concerne les motivations de la personne effectuant ce DDos qui ne sont jamais données, non plus que la cible. Nous aurions une personne (ou un groupe de personnes) capable de lancer le DDos le plus puissant du monde, sans raison, ni motivations, ni cible. Ce qui semble étrange. J'ai donc laissé de côté un peu cette info, pensant être en face d'un "coup" marketing plus que technique.
Scooped by
Stéphane NEREAU
onto Cybersécurité - Innovations digitales et numériques |
Tout d'abord, sur la méthode employée. Comme attendu, les attaquants ont utilisés de l'amplification. Au lieu d'attaquer le serveur, on requête un serveur tiers avec l'IP source de la victime, et on s'arrange pour que la réponse de ce serveur tiers soit plus grosse que la requête. Double effet: on masque la véritable IP de l'attaquant, et on gagne en puissance de feu^W débit. Il y a 6 mois, on entendait beaucoup parler d'amplification par les serveurs de jeux (par exemple à la GreHack). Un nouvel amplificateur particulièrement puissant a été trouvé: le NTP. Un bon article de Bortzmeyer explique cette attaque. Je me demande si des gens ont scanné Internet à la recherche de "chargen", ça pourrait être très pratique. [EDIT : effectivement : Cf https://isc.sans.edu/diary/A+Chargen-based+DDoS%3F+Chargen+is+still+a+thing%3F/15647]
Pour terminer, il semblerait que le prochain amplificateur soit trouvé avec snmp. Les premiers calculs indiquent une amplification maximale de 650! S'il se réalise, le prochain DDos dépassera le Terabit/s. Comme disent les anglais: "wait and see".