Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Cloudflare atténue une attaque DDoS de 26 millions de requêtes par seconde

2022-06-14

Lecture: 3 min.
Cet article est également disponible en English, en 繁體中文, en Deutsch, en Italiano, en 日本語, en 한국어, en Português, en Español, en Рyсский, en Polski et en 简体中文.

Mise à jour du 24 juin 2022 : nous avons nommé le botnet à l'origine de l'attaque DDoS de 26 millions de r/s (requêtes par seconde) « Mantis », car il ressemble un peu à une mante de mer (Mantis Shrimp) en ce qu'il se révèle petit, mais très puissant. Le botnet Mantis s'est montré particulièrement actif la semaine passée, en lançant des attaques DDoS HTTP d'une envergure atteignant les 9 millions de requêtes par seconde à l'encontre de propriétés Internet de VoIP et de cryptomonnaies.

La semaine dernière, Cloudflare a détecté et atténué automatiquement une attaque DDoS évaluée à 26 millions de requêtes par seconde, soit un chiffre qui la place comme la plus vaste attaque DDoS HTTP jamais enregistrée.

L'incident s'est attaqué au site web d'un client utilisateur de l'offre gratuite de Cloudflare. Tout comme lors de l'événement précédent chiffré à 15 millions de r/s, cette attaque provenait principalement de fournisseurs de services cloud plutôt que de FAI résidentiels, indiquant ainsi l'utilisation de machines virtuelles et de puissants serveurs détournés pour générer la charge malveillante nécessaire, plutôt que l'utilisation d'appareils liés à l'Internet des objets (IdO), bien plus faibles.

Des attaques record

Graph of the 26 million request per second DDoS attack

Au cours de l'année passée, nous avons été témoins de plusieurs attaques record se succédant l'une à l'autre. En août 2021 déjà, nous révélions l'observation d'une attaque DDoS HTTP de 17,2 millions de r/s et, plus récemment, au mois d'avril, d'une attaque DDoS HTTP évaluée à 15 millions de r/s. Toutes ces attaques ont été automatiquement détectées et atténuées par notre ensemble de règles gérées DDoS HTTP, soutenu par notre système de protection anti-DDoS périphérique autonome.

L'attaque de 26 millions de r/s était issue d'un botnet de taille réduite, mais puissant, composé de 5 067 appareils. En moyenne, chaque nœud générait un pic d'environ 5 200 r/s. Pour replacer la taille de ce botnet dans le contexte, nous surveillons actuellement un botnet moins puissant, mais bien plus imposant, composé de plus de 730 000 appareils. Ce dernier n'était pas capable de générer plus d'un million de requêtes par seconde, soit une moyenne d'environ 1,3 requête par seconde et par appareil. En clair, ce botnet se révélait, en moyenne, 4 000 fois plus puissant en raison de l'utilisation de machines virtuelles et de serveurs.

Il convient également de noter que cette attaque se déroulait via HTTPS. Les attaques DDoS HTTPS se montrent plus coûteuses en termes de ressources de calcul requises du fait du coût plus élevé lié à l'établissement d'une connexion TLS chiffrée et sécurisée. Le lancement d'une telle attaque se révèle donc plus cher pour l'acteur malveillant, mais aussi pour la victime qui tente de l'atténuer. Nous avons déjà observé des attaques de très grande envergure lancées via HTTP (non chiffré) par le passé. Toutefois, celle-ci se démarque du fait des ressources nécessaires à son échelle.

En moins de 30 secondes, ce botnet a généré plus de 212 millions de requêtes HTTPS provenant de plus de 1 500 réseaux, répartis dans 121 pays. Les principaux pays d'origine du trafic étaient l'Indonésie, les États-Unis, le Brésil et la Russie. Près de 3 % de l'attaque provenaient de nœuds Tor.

Les principaux réseaux source étaient celui du fournisseur français OVH (ASN 16276), de l'indonésien Telkomnet (ASN 7713), de l'américain iboss (ASN 137922) et du libyen Ajeel (ASN 37284).

Chart of the top source countries of the attack

Le panorama des menaces DDoS

Chart of the top source networks of the attack

Il est important de comprendre le paysage des menaces lorsqu'on s'interroge sur la protection contre les attaques DDoS. L'étude de notre récent rapport sur les tendances des attaques DDoS révèle que la plupart des attaques étaient de petite taille (des actes comparables à du cybervandalisme, par exemple). Toutefois, même les petites attaques peuvent avoir un impact sur les propriétés Internet dénuées de protection. De l'autre côté, les attaques de grande envergure gagnent en taille et en fréquence, mais demeurent courtes et rapides. Les acteurs malveillants concentrent la puissance de leur botnet dans un coup dévastateur, unique et rapide visant à obtenir des effets dévastateurs, tout en tentant d'échapper à la détection.

Les attaques DDoS sont peut-être à l'initiative des humains, mais n'en restent pas moins générées par des machines. Le temps que les humains puissent réagir, l'attaque pourrait tout à fait être déjà terminée. Et même si cette dernière se révèle rapide, les défaillances du réseau et des applications peuvent se prolonger bien après la fin effective d'une attaque, soit des conséquences susceptibles de vous coûter cher en termes de pertes de chiffre d'affaires et de réputation. C'est pourquoi nous vous recommandons de protéger vos propriétés Internet à l'aide d'un service de protection automatisé et toujours actif, qui ne dépend pas d'une action humaine pour détecter et atténuer les attaques.

Contribuer à bâtir un Internet meilleur

Tout ce que nous entreprenons chez Cloudflare est guidé par notre mission visant à bâtir un Internet meilleur. La vision de l'équipe chargée des solutions anti-DDoS découle de cette mission : notre objectif consiste à reléguer l'impact des attaques DDoS au passé. Le niveau de protection que nous proposons est totalement illimité et sans surcoût lié à l'utilisation, il n'est pas limité par la taille de l'attaque, le nombre d'attaques ou la durée de ces dernières. Ce point revêt une importance particulière ces derniers temps, car nous avons récemment observé un accroissement des attaques en termes de taille et de fréquence.

Vous n'utilisez pas encore Cloudflare ? Commencez dès maintenant à protéger vos sites web avec nos offres gratuite et Pro ou contactez-nous pour bénéficier d'une protection contre les attaques DDoS complète sur l'ensemble de votre réseau grâce à Magic Transit.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
DDoSBotnet (FR)Attacks (FR)Sécurité

Suivre sur X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Publications associées

20 novembre 2024 à 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

06 novembre 2024 à 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....