Posté le septembre 21, 2022 à 7:55

IMPERVA BAT DES RECORDS APRÈS S’ÊTRE DÉFENDU CONTRE UNE ATTAQUE DDOS DE 25,3 MILLIARDS DE REQUÊTES

Imperva, une entreprise de cybersécurité, a annoncé avoir battu un record en se défendant contre une attaque par déni de service distribué (DDoS). La société a annoncé qu’elle s’était défendue contre une seule attaque qui a envoyé plus de 25,3 milliards de requêtes à l’un de ses clients.

Imperva se défend contre une attaque DDoS de 25,3 milliards de requêtes

Dans son communiqué, Imperva indique que le client visé par l’attaque DDoS était un fournisseur de services de télécommunications Chinois. Ce client est généralement visé par les attaques DDoS en raison des volumes élevés.

L’attaque DDoS en question s’est produite le 27 juin 2022. L’attaque a atteint un pic de 3,9 millions de requêtes par seconde, avec une moyenne de 1,8 million de requêtes par seconde. L’attaque atténuée par Imperva bat des records car elle a été exceptionnellement longue.

Les demandes par seconde de cette attaque DDoS étaient nettement inférieures au record de 26 millions de RPS que Cloudflare a atténué en juin. Toutefois, comme nous l’avons déjà mentionné, le cas d’Imperva était particulièrement long.

Les attaques dont le RPS culmine à plus d’un million durent généralement de quelques secondes à quelques minutes. Cependant, l’attaque atténuée par Imperva a duré plus de quatre heures, ce qui en fait l’une des plus longues attaques DDoS.

Dans son annonce, Imperva indique qu’au début de l’attaque, le RPS était de 3,1 millions. L’attaque a maintenu un taux d’environ 3 millions de RPS avant de culminer à 3,9 millions de RPS. L’attaque s’est calmée pendant plusieurs minutes avant de revenir à sa pleine puissance, pendant encore une heure.

La société a ajouté que seule une attaque DDoS sur dix dure plus d’une heure. En outre, un nombre encore plus faible d’attaques DDoS étaient accompagnées d’une puissance suffisante pour les soutenir pendant une longue période.

« Les attaquants ont utilisé le multiplexage HTTP/2 ou la combinaison de plusieurs paquets en un seul pour envoyer plusieurs requêtes à la fois sur des connexions individuelles. Cette technique permet de faire tomber des serveurs en utilisant un nombre limité de ressources, et ces attaques sont extrêmement difficiles à détecter. Comme notre solution d’atténuation automatique est garantie pour bloquer les DDoS en moins de trois secondes, nous estimons que l’attaque aurait pu atteindre un taux bien plus élevé que le pic de 3,9 millions de RPS que nous avons suivi », ajoute Imperva.

L’attaque DDoS a été lancée par un botnet mondiale

L’attaque DDoS qu’Imperva a atténuée a été lancée par un grand réseau mondial de botnet. Le botnet était présent dans 180 pays, la plupart des adresses IP étant situées au Brésil, en Indonésie et aux États-Unis.

Le botnet massif a déployé 170 000 appareils, dont des routeurs modems, des serveurs vulnérables, des caméras de sécurité intelligentes et des IoT mal protégés.

Selon Imperva, certains des serveurs compromis utilisés pour déployer le trafic malveillant étaient hébergés sur des clouds publics et des fournisseurs de services de sécurité en nuage. Cela a démontré un abus à grande échelle des serveurs, et l’étendue des dommages qui pourraient être causés est également remarquablement élevée.

Imperva n’a pas fourni de nom ou de numéro d’identification pour le botnet. Cependant, ce botnet ne semble pas avoir les mêmes caractéristiques que « Mantis ». Mantis est le botnet qui a été utilisé pour lancer l’attaque DDoS record de 26 millions de RPS que Cloudflare a atténué pendant l’été.

Cloudflare a déclaré que le botnet Matis s’appuie sur un petit nombre d’appareils, soit un peu plus de cinq mille. De plus, le botnet s’est concentré sur l’enrôlement de serveurs et de machines virtuelles puissants, ce qui lui a permis de lancer un DDoS d’une telle ampleur.

Meris et le botnet utilisé pour lancer le DDoS contre Imperva présentent certaines similitudes. Le nombre de dispositifs utilisés pour lancer l’attaque DDoS contre la société Imperva est proche des estimations de Meris. Meris est un botnet qui a été utilisé pour lancer une précédente attaque DDoS record avec 21,8 millions de RPS.

Les chercheurs ont estimé que Meris englobe entre 30 000 et 250 000 appareils, ce qui est nettement supérieur au nombre d’appareils utilisés par le botnet Meris.

D’autre part, les botnets Meris et mantis ont déjà eu des effets néfastes rapides grâce à des attaques à courte portée, qui ne sont pas les mêmes que les attaques DDoS qui durent des heures. Par conséquent, le botnet qui a attaqué Imperva est nouveau. En outre, sa capacité à maintenir une attaque à haut RPS pendant plusieurs heures est préoccupante, car elle pourrait causer des dommages importants si elle n’est pas détectée dès le début. Cependant, ce botnet n’a pas encore été identifié.