Posté le octobre 15, 2021 à 15:50
MICROSOFT SE DÉFEND CONTRE UNE ATTAQUE DDOS DE 2,4 TBPS SUR LE SERVICE CLOUD AZURE
Les attaques par déni de service distribué (DDoS) sont en augmentation et leur intensité ne cesse de croître. Microsoft a été la dernière victime en date d’une attaque DDoS majeure, mais elle a réussi à la déjouer.
L’attaque DDoS qui a visé Microsoft a atteint 2,4 térabits par seconde (Tbps). L’attaque DDoS contre laquelle Microsoft s’est récemment battue visait ses services européens de cloud Azure. Cette attaque DDoS pourrait être la plus importante jamais signalée.
La plus grande attaque DDoS contre le service cloud Azure
Des chercheurs ont déclaré que cette attaque sur le cloud Azure pourrait être la plus grande attaque DDoS à ce jour. L’attaque était encore plus importante qu’une précédente attaque en 2020 sur Azure 1, rapportée à 1Tbps. Dans son rapport, Microsoft a déclaré que cette attaque était « plus élevée que tout événement volumétrique de réseau précédemment détecté sur Azure. »
Microsoft a fourni peu de détails sur cette attaque, et n’a pas donné les cibles réelles de l’attaque. Néanmoins, le rapport indique que l’attaque provenait de plus de 70 000 sources. L’origine de l’attaque a également été retracée dans les pays de la région Asie-Pacifique, notamment la Chine, le Japon, la Malaisie, Taïwan et le Vietnam. Certaines sources pointent également vers les États-Unis.
Le vecteur d’attaque utilisé pour lancer l’attaque était un protocole de datagramme utilisateur (UDP). La durée totale de l’attaque a été de 10 minutes, avec des paquets de courte durée. Ces paquets augmentent en quelques secondes pour atteindre des volumes de l’ordre du térabit. L’attaque a atteint trois pics principaux. Le premier pic était de 2,4 Tbps, le second de 0,55 Tbps et le troisième de 1,7 Tbps.
L’attaque par réflexion UDP est une technique utilisée par les hackers pour exploiter la nature sans état du protocole UDP. Une fois lancée, l’attaque semble se refléter dans les deux sens au sein du réseau local, d’où son nom. L’attaque dépend également de la falsification du protocole Internet (IP) source du paquet de requête UDP.
Le paquet UDP avec l’IP source falsifiée est envoyé à un serveur intermédiaire par l’attaquant. Le serveur envoie ensuite ses paquets de réponse UDP aux utilisateurs ciblés au lieu de les renvoyer au hacker. Le serveur intermédiaire augmente l’intensité de l’attaque car il génère un trafic réseau plus important que le paquet de demande. Cela multiplie le trafic de l’attaque.
L’intensité du trafic d’attaque dépend du protocole d’attaque que les hackers exploitent. Les parties lançant des attaques DDoS exploitent principalement des protocoles Internet tels que CharGen, DNS, memcached, NTP et QOTD. Memcached est le protocole le plus couramment exploité dans les attaques DDoS.
Memcached est un système de mise en cache d’objets open-source qui se targue d’être très performant. Ce système est principalement utilisé par les réseaux de médias sociaux à fort trafic, tels que Facebook. En tant que stockage de valeur-clé, il est également utilisé par son créateur, LiveJournal, pour stocker de petites proportions de données arbitraires.
En termes de stockage de données, Memcached est très utile. Toutefois, des rapports de Cloudflare ont montré qu’il peut être exploité, ce qui peut provoquer une amplification du trafic d’attaque. Selon Cloudflare, si un attaquant envoie une requête de 15 octets, cela peut conduire à 750 Ko de trafic d’attaque, soit une amplification de 51 200x.
Microsoft n’a pas mentionné l’IP spécifique utilisée pour lancer ces attaques, mais dans son rapport, elle mentionne le DNS. Les attaques visant les IP DNS n’ont pas l’ampleur de l’amplification, comme Memcached. Les exploits DNS peuvent conduire à une amplification de 28 à 54 fois des octets d’origine. Dans ce cas, si l’attaquant envoie une requête de 64 octets à un serveur DNS, cela pourrait conduire à 3400 octets de trafic d’attaque.
La couche de protection Azure DDoS s’est défendue contre l’attaque
Microsoft n’a pas donné de détails exacts sur la manière dont elle s’est défendue contre l’attaque. Toutefois, elle a indiqué que les services en nuage d’Azure disposent d’une couche de protection DDoS qui détecte les attaques DDoS et en atténue les effets. Microsoft a également indiqué que la couche de protection pouvait absorber des dizaines de térabits de trafic d’attaque.
« Cette capacité d’atténuation agrégée et distribuée peut évoluer massivement pour absorber le plus grand volume de menaces DDoS, offrant à nos clients la protection dont ils ont besoin », note Microsoft.
Dès que le protocole de protection DDoS Azure détecte une attaque, ses stratégies d’atténuation sont déclenchées. Selon Microsoft, ce mécanisme de fonctionnement garantit que la couche de protection offre le temps le plus rapide nécessaire pour atténuer l’attaque. En outre, il réduit les dommages collatéraux causés par de telles attaques.
Tous les utilisateurs d’Azure bénéficient de ce protocole de protection DDoS. Toutefois, Microsoft recommande aux utilisateurs de souscrire également à la norme de protection DDoS Azure. Cette norme permet non seulement de se défendre contre les attaques DDoS mais aussi de fournir une protection en termes de coûts. Cette couche de protection supplémentaire offre un transfert de données et compense les coûts de ressources engendrés par les attaques DDoS.
