Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Attaques DDoS dans la blogosphère

Publié le 13-04-2011 dans le thème Réseau - Sécurité
Pays : International - Auteur : La rédaction

Les attaques DDoS sont aujourd’hui si répandues qu´elles figurent désormais en tête des classements tels que les principaux risques liés aux applications Web et les principales méthodes d’attaque. (Par Yuri Gushin, Spécialiste principal de la sécurité – EMEA de Radware)

Lors de la rédaction du présent article, LiveJournal, l’une des principales plates-formes de blog a été mise hors service en raison d’une attaque DDoS. Selon des statistiques diffusées par le projet WHID (Web Hacking Incident Database, base de données des incidents de piratage Web) en mars 2011 portant sur le second semestre 2010, les attaques DDoS sont aujourd’hui si répandues qu’elles figurent désormais en tête des classements tels que les principaux risques liés aux applications Web et les principales méthodes d’attaque ; la mise hors service étant la première conséquence des attaques.

LiveJournal a déjà fait l’objet de nombreuses fois d’attaques DDoS, en grande partie à cause de la divergence d’opinions politiques entre certains blogs hébergés sur LiveJournal et celles des hackers. Cette fois-ci l’attaque a cependant ciblé simultanément plusieurs des blogs les plus populaires de LiveJournal, laissant penser que l’objectif de ce genre d’attaques visait à mettre hors service l’ensemble de l’infrastructure de blog, et non un seul blog.

LiveJournal a initialement annoncé l’émergence de ces nouvelles attaques le 31 mars, suite à l’attaque survenue le 30 mars aux alentours de 12 h UTC.

Ilya Dronov, directeur Développement produits à SUP (propriétaire de LiveJournal), a diffusé des statistiques intéressantes dès le premier jour de ces attaques sur son blog :

· Temps de réponse : 7 heures ont été nécessaires pour contrer l’attaque

· Caractéristiques de l’attaque :

o Le nombre de sessions simultanées a atteint le chiffre de 1,2 million, contre 50 000 en temps normal

o Le débit des requêtes HTTP était dix fois plus élevé qu’en temps normal

o Le trafic sortant a atteint 2 Gbps, contre 400 Mbps en temps normal

· Origine de l’attaque : un échantillon de 1000 adresses IP attaquées a montré que la majorité des sources de l’attaque provenait de la région APAC.

· Lors de l’attaque, seules 30 % des requêtes HTTP ont pu être satisfaites (requêtes légitimes et liées à l’attaque)

Dans un autre article décrivant les attaques ultérieures du 4 avril, Ilya Dronov écrit que contrairement aux attaques du 30 mars qui comprenaient principalement des inondations de réseau ou d’applications telles que TCP SYN et HTTP, les attaques du 4 avril ont été si intenses que leur objectif principal n’était pas d’interrompre le site Web mais l’équipement réseau et si possible le lien lui-même.

D’autres plates-formes de blogs populaires ne sont pas non plus étrangères à ce type d’attaques : WordPress.com, desservant plus de 18 millions de sites Web et 30 millions d’éditeurs et couvrant environ 10 % de tous les sites Web du monde, a été la cible d’une autre attaque DDoS intense ayant débuté le 3 mars, engendrant des conditions de déni de service rendant les blogs WordPress inutilisables.

Suite à l’analyse des informations publiées sur ces attaques, nous pouvons affirmer ceci :

· «  Il s’agit de l’attaque la plus importante et la plus soutenue à laquelle nous avons été confrontés depuis notre création il y a 6 ans  », explique Matt Mullenweg, fondateur de WordPress

· Caractéristiques de l’attaque : plusieurs Gbps et des dizaines de millions de PPS (paquets par seconde)

· Origine de l’attaque : 98 % des attaques provenant de Chine et un faible pourcentage provenant du Japon et de la Corée

· Motif : pas nécessairement politique, probablement financier : «  il ne semble pas que les attaques étaient d’origine politique, mais plus orientées pour nuire commercialement étant donné le site ciblé  », précise Matt Mullenweg.

Matt Mullenweg illustre certaines des expériences courantes vécues lors d’une attaque DDoS :

Ø De multiples attaques sont combinées, engendrant toujours plus de contraintes sur tout matériel tentant d’y faire face.

Ø Les attaques s’adaptent au fil du temps afin de trouver les points faibles d’une cible et de faire durer la condition de déni de service.

Ø Des réseaux de bots sont utilisés, augmentant la capacité et la polyvalence des attaques par rapport à celle d’un seul hacker, ce qui rend la défense plus difficile par de simples mécanismes de limitation du débit et de filtrage.

Ø Les campagnes d’attaque durent des jours et parfois des semaines, et surviennent par vagues.

Source : zataz.com