Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Tendances en matière d'attaques DDoS au deuxième trimestre 2022

2022-07-06

Lecture: 11 min.
Cet article est également disponible en English, en 繁體中文, en Deutsch, en 日本語, en 한국어, en Português, en Español et en 简体中文.

Bienvenue dans notre rapport consacré aux attaques DDoS survenues lors du deuxième trimestre 2022. Ce document présente des tendances et des statistiques relatives au panorama des menaces DDoS, telles qu'observées sur le réseau mondial de Cloudflare. Une version interactive de ce rapport est également disponible sur Radar.

DDoS attack trends for 2022 Q2

Au cours du deuxième trimestre, nous avons observé certaines des plus vastes attaques jamais enregistrées, notamment une attaque DDoS HTTPS de 26 millions de requêtes par seconde, automatiquement détectée et atténuée par nos soins. Nous avons également constaté la poursuite des attaques contre l'Ukraine et la Russie, de même que l'émergence d'une nouvelle campagne d'attaques DDoS avec demande de rançon.

Points clés

Le réseau Internet russe et ukrainien

  • La guerre au sol s'accompagne d'attaques ciblant la diffusion des informations.

  • Les entreprises du secteur audiovisuel ukrainien ont été les plus visées par les attaques DDoS au deuxième trimestre. Pour tout dire, les cinq secteurs les plus attaqués se situent tous dans le domaine des médias en ligne/Internet, de la publication et de l'audiovisuel.

  • À l'inverse, en Russie, les médias en ligne reculent de secteur le plus attaqué à la troisième place. Les entreprises du secteur de la banque, des assurances et des services financiers (BFSI, Banking, Financial Services and Insurance) russe se sont frayées un chemin vers la première place et ont été les plus attaquées au deuxième trimestre. Près de 45 % de l'ensemble des attaques DDoS sur la couche applicative ont ainsi visé le secteur des BFSI. Les entreprises russes du secteur des cryptomonnaies décrochent la deuxième place.

En savoir plus sur les mesures prises par Cloudflare pour maintenir la circulation des informations de l'Internet ouvert vers la Russie et empêcher les attaques de sortir de ce dernier.

Attaques DDoS avec demande de rançon

  • Nous avons observé une nouvelle vague d'attaques DDoS avec demande de rançon provenant d'entités se revendiquant du groupe Fancy Lazarus.

  • En juin 2022, les attaques DDoS avec demande de rançon ont atteint leur point culminant de l'année jusqu'ici : une personne interrogée sur cinq parmi celles qui affirment avoir subi une attaque DDoS ont signalé avoir fait les frais d'une attaque DDoS ou d'autres menaces accompagnées d'une demande de rançon

  • Au total, le pourcentage d'attaques DDoS avec demande de rançon a augmenté de 11 % au deuxième trimestre, par rapport au trimestre précédent.

Attaques DDoS sur la couche applicative

  • En 2022, les attaques DDoS sur la couche applicative ont augmenté de 72 % par rapport à l'année précédente.

  • Les entreprises établies aux États-Unis ont été les plus touchées, suivies par celles situées à Chypre, à Hong Kong et en Chine. Les attaques visant les entreprises basées à Chypre ont augmenté de 166 % par rapport au trimestre précédent.

  • Le secteur de l'aéronautique et de l'aérospatiale a été le plus visé au deuxième trimestre, suivi par les secteurs de l'Internet, des BFSI (banque, assurances et services financiers) et le secteur des jeux/jeux de hasard, qui se place en quatrième position

Attaques DDoS sur la couche réseau

  • En 2022, les attaques DDoS sur la couche réseau ont augmenté de 109 % par rapport à l'année précédente. Les attaques de 100 Gb/s et plus ont augmenté de 8 % par rapport au trimestre précédent et les attaques d'une durée supérieure à 3 heures de 12 % sur la même période.

  • Les secteurs les plus touchés ont été ceux des télécommunications, des jeux/jeux de hasard, ainsi que celui des services et technologies de l'information.

  • Les entreprises situées aux États-Unis ont été les plus visées, suivies par celles basées en Chine, à Singapour et en Allemagne.

Ce rapport concerne les attaques DDoS automatiquement détectées et atténuées par les systèmes de protection contre les attaques DDoS de Cloudflare. Pour en apprendre plus sur leur fonctionnement, consultez cet article de blog détaillé.

Remarque concernant la manière dont nous mesurons les attaques DDoS observées sur notre réseau

Pour analyser les tendances en matière d'attaques, nous calculons le taux d'« activité DDoS », qui correspond au pourcentage de trafic hostile par rapport au trafic total (hostile et légitime) observé sur notre réseau mondial, dans un emplacement spécifique ou au sein d'une catégorie spécifique (p. ex. le secteur ou le pays de facturation). La mesure de ces pourcentages nous permet de normaliser les points de données et d'éviter les biais résultant de l'utilisation de chiffres absolus (par exemple, envers un datacenter Cloudflare qui reçoit un trafic plus important et connaît donc plus d'attaques).

Attaques avec demande de rançon

Nos systèmes analysent le trafic en permanence et déploient des mesures d'atténuation de manière automatique lorsque des attaques DDoS sont détectées. Nous invitons chaque client ayant subi une attaque DDoS à répondre à une enquête automatisée afin de nous aider à mieux comprendre la nature de l'attaque et le degré de réussite de l'atténuation.

Depuis plus de deux ans désormais, Cloudflare interroge les clients victimes d'attaques. Nous leur demandons notamment s'ils ont reçu des menaces ou une demande de rançon exigeant un paiement en échange de la promesse d'arrêter l'attaque DDoS en cours ou de ne pas lancer d'attaque DDoS.

Le nombre de personnes interrogées ayant signalé des demandes de rançon ou des menaces accompagnées d'une demande de rançon au deuxième trimestre a augmenté de 11 % par rapport à l'année et au trimestre précédents. Au cours du trimestre, nous avons atténué des attaques DDoS avec demande de rançon lancées par des entités prétendant appartenir au groupe de menaces persistantes avancées (Advanced Persistent Threat, APT) « Fancy Lazarus ». La campagne se concentre sur les institutions financières et les entreprises du secteur des cryptomonnaies.

Le pourcentage de personnes ayant signalé avoir fait l'objet d'une attaque DDoS avec demande de rançon ou avoir reçu des menaces en préambule à une attaque.

Graph of ransom DDoS attacks by quarter

L'analyse plus approfondie du deuxième trimestre montre qu'au mois de juin, une personne interrogée sur cinq a signalé avoir été menacée ou avoir fait les frais d'une attaque DDoS avec demande de rançon, une proportion qui fait du mois de juin le mois affichant le taux le plus élevé de signalements en la matière de l'année 2022, avec un niveau inégalé depuis décembre 2021.

Attaques DDoS sur la couche applicative

Graph of ransom DDoS attacks by month

Les attaques DDoS sur la couche applicative (et plus spécifiquement les attaques DDoS HTTP) cherchent généralement à perturber le fonctionnement d'un serveur web en le rendant incapable de traiter les requêtes des utilisateurs légitimes. Si un serveur se trouve bombardé par plus de requêtes qu'il ne peut en gérer, il abandonne les requêtes légitimes et peut même finir dans certains cas par s'arrêter totalement, en entraînant ainsi une dégradation des performances ou une défaillance pour les utilisateurs légitimes.

Attaques DDoS sur la couche applicative, répartition mensuelle

A diagram of a DDoS attack denying service to legitimate users

Au deuxième trimestre, les attaques DDoS sur la couche applicative ont augmenté de 72 % par rapport à l'année précédente.

Au total, le volume d'attaques DDoS sur la couche applicative observé lors du deuxième trimestre a augmenté de 72 % par rapport à l'année précédente, mais a diminué de 5 % par rapport au trimestre précédent. Le mois de mai s'est avéré le plus actif du trimestre. Près de 41 % de l'ensemble des attaques DDoS sur la couche applicative ont eu lieu en mai, tandis que le mois de juin a connu le plus petit nombre d'attaques (28 %).

Attaques DDoS sur la couche applicative, répartition par secteur

Graph of the yearly distribution of application-layer DDoS attacks by month in the past 12 months

Les attaques visant le secteur de l'aéronautique et de l'aérospatiale ont augmenté de 493 % par rapport au trimestre précédent**.**

Le secteur de l'aéronautique et de l'aérospatiale s'est révélé le plus visé par les attaques DDoS sur la couche applicative au deuxième trimestre. Il est suivi par celui d'Internet, de la banque, des assurances et des services financiers (BFSI), ainsi que par le secteur des jeux/jeux de hasard, qui se positionne à la quatrième place.

Le cyberespace russe et ukrainien

Graph of the distribution of HTTP DDoS attacks by industry in 2022 Q2

Les entreprises du secteur des médias et de la publication sont les plus visées en Ukraine.

Tandis que la guerre en Ukraine continue au sol, dans les airs et sur l'eau, elle se poursuit également dans le cyberespace. Les entités qui s'en prennent aux entreprises ukrainiennes semblent essayer de bâillonner l'information. Les cinq secteurs les plus attaqués en Ukraine se situent tous dans le domaine de l'audiovisuel, d'Internet, des médias en ligne et de la publication. Ces derniers totalisent près de 80 % de l'ensemble des attaques DDoS sévissant sur le territoire.

Dans le camp opposé (côté russe donc), ce sont les entreprises du secteur de la banque, des assurances et des services financiers (BFSI) qui ont connu le plus d'attaques. Près de 45 % de l'ensemble des attaques DDoS ont ainsi visé le secteur des BFSI. Le deuxième secteur le plus touché a été celui des cryptomonnaies, suivi du secteur des médias en ligne.

Graph of the distribution of HTTP DDoS attacks on Ukrainian industries by source country in 2022 Q2

On constate que les attaques font preuve d'une forte distribution géographique dans les deux camps belligérants, un fait qui indique ainsi l'utilisation de botnets répartis sur l'ensemble du monde.

Graph of the distribution of HTTP DDoS attacks on Russian industries by source country in 2022 Q2

Attaques DDoS sur la couche applicative, répartition par pays d'origine

Les attaques provenant de Chine ont diminué de 78 % au deuxième trimestre et les attaques issues des États-Unis de 43 %.

Pour connaître l'origine des attaques HTTP, nous examinons la géolocalisation de l'adresse IP source du client à l'initiative des requêtes composant l'attaque HTTP. Contrairement aux attaques sur la couche réseau, les adresses IP ne peuvent pas être usurpées lors d'une attaque HTTP. Un pourcentage d'activité DDoS élevé dans un pays donné n'indique pas que ce dernier constitue la source des attaques, mais révèle plutôt la présence de botnets au sein de ce dernier.

Pour le deuxième trimestre consécutif, les États-Unis maintiennent leur première place en tant que source principale des attaques DDoS HTTP. La Chine détient la deuxième place après les États-Unis, tandis que l'Inde et l'Allemagne se placent respectivement en troisième et quatrième position. Même si les États-Unis ont conservé la première place, les attaques originaires de ce pays ont diminué de 48 % par rapport au trimestre précédent, tandis que les attaques issues d'autres régions sont en hausse. Les attaques en provenance d'Inde ont ainsi augmenté de 87 %, les attaques originaires d'Allemagne de 33 % et les attaques lancées depuis le Brésil de 67 %.

Attaques DDoS sur la couche applicative, répartition par pays cible

Graph of the distribution of HTTP DDoS attacks by source country in 2022 Q2

Afin d'identifier les pays ciblés par le plus grand nombre d'attaques DDoS HTTP, nous décomposons l'activité des attaques DDoS en fonction du pays de facturation de nos clients et la représentons sous forme de pourcentage de l'ensemble des attaques DDoS.

Les attaques DDoS HTTP visant des entreprises situées aux États-Unis ont augmenté de 67 % par rapport au trimestre précédent. Ce chiffre replace ainsi les États-Unis à la première position en tant que source principale des attaques sur la couche applicative. Les attaques visant des entreprises chinoises ont baissé de 80 % par rapport au trimestre précédent, faisant ainsi chuter le pays de la première à la quatrième place. Les attaques sur les entreprises chypriotes ont connu une augmentation de 167 % et positionnent ainsi le pays à la deuxième place des pays les plus attaqués au deuxième trimestre. Après Chypre viennent ensuite Hong Kong, la Chine et les Pays-Bas.

Attaques DDoS sur la couche réseau

Graph of the distribution of HTTP DDoS attacks by target country in 2022 Q2

Si les attaques au niveau de la couche applicative prennent pour cible l'application (la couche 7 du modèle OSI) exécutant le service auquel les utilisateurs finaux tentent d'accéder (HTTP/S dans notre cas), les attaques sur la couche réseau cherchent à surcharger l'infrastructure réseau (comme les routeurs et les serveurs internes), ainsi que la liaison Internet elle-même.

Attaques DDoS sur la couche réseau, répartition mensuelle

Au deuxième trimestre, les attaques DDoS sur la couche réseau ont augmenté de 109 % par rapport à l'année précédente. De même, les attaques volumétriques de 100 Gb/s et plus ont augmenté de 8 % par rapport au trimestre précédent

Le nombre total d'attaques DDoS sur la couche réseau observé lors du deuxième trimestre a augmenté de 109 % par rapport à l'année précédente et de 15 % par rapport au trimestre précédent. Le mois de juin s'est révélé le plus actif du trimestre, avec près de 36 % des attaques.

Attaques DDoS sur la couche réseau, répartition par secteur

Graph of the yearly distribution of network-layer DDoS attacks by month in the past 12 months

Au deuxième trimestre, les attaques sur les entreprises de télécommunications ont augmenté de 66 % par rapport au trimestre précédent.

Pour le deuxième trimestre consécutif, le secteur des télécommunications a été le plus touché par les attaques DDoS sur la couche réseau. Les attaques sur les entreprises de télécommunications ont ainsi augmenté de 66 % par rapport au trimestre précédent. Le secteur des jeux arrive en deuxième place, suivi par celui des services et technologies de l'information.

Attaques DDoS sur la couche réseau, répartition par pays cible

Graph of the distribution of network-layer DDoS attack bytes by industry in 2022 Q2

Les attaques sur les réseaux situés aux États-Unis ont augmenté de 95 % par rapport au trimestre précédent.

Les États-Unis demeurent le pays le plus attaqué au deuxième trimestre, suivis par la Chine, Singapour et l'Allemagne.

Attaques DDoS sur la couche réseau, répartition par pays source de trafic entrant

Graph of the distribution of network-layer DDoS attack bytes by target country in 2022 Q2

Lors du deuxième trimestre, près d'un tiers du trafic observé par Cloudflare en Palestine et d'un quart du trafic circulant en Azerbaïdjan faisait partie d'une attaque DDoS sur la couche réseau**.**

Lorsque nous essayons de comprendre d'où les attaques DDoS sur la couche réseau proviennent, nous ne pouvons utiliser la même méthode que celle que nous employons pour l'analyse des attaques sur la couche applicative. Le lancement d'une attaque DDoS sur la couche applicative nécessite la réussite de certaines négociations entre le client et le serveur afin d'établir une connexion HTTP/S. Pour qu'une négociation puisse réussir, les attaques ne peuvent pas usurper leur adresse IP source. Si l'auteur de l'attaque peut tirer parti de botnets, de services de proxy et d'autres méthodes de dissimulation de son identité, l'emplacement de l'adresse IP source du client à l'origine de l'attaque représente avec suffisamment de précision la source des attaques DDoS sur la couche applicative.

D'un autre côté, le lancement d'attaques DDoS sur la couche réseau ne nécessite, dans la plupart des cas, aucune négociation. Les acteurs malveillants peuvent tout à fait usurper l'adresse IP source pour dissimuler la source de l'attaque et introduire un caractère aléatoire dans les propriétés de cette dernière. Le blocage des attaques par les systèmes de protection contre les attaques DDoS simples s'en trouve donc plus difficile. Par conséquent, si nous cherchons à déterminer le pays d'origine en nous fondant sur une adresse IP source usurpée, le résultat aboutira sur un pays usurpé.

C'est pour cette raison que lorsque nous analysons les sources des attaques DDoS sur la couche réseau, nous classons le trafic en fonction de l'emplacement des datacenters Cloudflare dans lequel le trafic a été ingéré et non de l'adresse IP (potentiellement) usurpée pour déterminer de quel endroit les attaques proviennent. Nous sommes en mesure de garantir la précision géographique de notre rapport dans la mesure où nous possédons des datacenters répartis dans plus de 270 villes à travers le monde. Toutefois, cette méthode n'est pas précise à 100 %, car le trafic peut faire l'objet d'une redirection (backhauling) et d'un routage via divers fournisseurs d'accès Internet et pays pour des raisons variables, qui vont de la réduction des coûts à la gestion des encombrements et des défaillances.

La Palestine passe de la seconde à la première place en tant que point d'implantation Cloudflare affichant le plus haut pourcentage d'attaques DDoS sur la couche réseau. L'Azerbaïdjan, la Corée du Sud et l'Angola lui emboîtent le pas.

Pour visualiser toutes les régions et tous les pays, consultez la carte interactive.

Graph of the distribution of network-layer DDoS attacks by source country in 2022 Q2
Map of the distribution of network-layer DDoS attacks by source country in 2022 Q2

Vecteurs d'attaque

Les attaques DNS ont augmenté au deuxième trimestre, pour devenir le deuxième vecteur d'attaque le plus fréquent.

Le terme « vecteur d'attaque » désigne la méthode utilisée par le pirate pour lancer son attaque DDoS, c'est-à-dire le protocole IP, les attributs de paquets (comme les indicateurs TCP) et la méthode de saturation, parmi bien d'autres critères.

Lors du deuxième trimestre, 53 % de l'ensemble des attaques sur la couche réseau se composaient d'attaques de type SYN flood. Les SYN floods demeurent ainsi le vecteur d'attaque le plus populaire. Elles s'en prennent à la requête de connexion initiale de la négociation TCP avec état. Les serveurs ne disposent d'aucun contexte sur la connexion TCP pendant cette requête, car la connexion est en cours de création. Laissés sans protection, les serveurs peuvent ainsi éprouver des difficultés à atténuer un flood de requêtes de connexion initiale. Cette situation peut faciliter la consommation des ressources non protégées d'un serveur par un acteur malveillant.

Après les SYN floods viennent les attaques visant l'architecture DNS, les RST floods (qui s'attaquent eux aussi au processus de connexion TCP) et les attaques génériques via UDP.

Menaces émergentes

Graph of the top network-layer DDoS attack vectors in 2022 Q2

Les attaques lancées via CHARGEN, Ubiquiti et Memcached sont entrées au palmarès des principales menaces émergentes au deuxième trimestre.

L'identification des principaux vecteurs d'attaque permet aux entreprises de mieux comprendre le panorama des menaces. Cette opération peut également les aider à améliorer leur stratégie de sécurité afin de se protéger contre ces menaces. De même, si les nouvelles menaces émergentes ne constituent pas encore une partie substantielle des attaques, en apprendre plus à leur sujet peut contribuer à les atténuer avant qu'elles ne deviennent une force avec laquelle compter.  

Au deuxième trimestre, les principales menaces émergentes comprenant les attaques par amplification abusant du protocole Character Generator (CHARGEN), les attaques par amplification réfléchissant le trafic destiné aux appareils Ubiquiti exposés et la tristement célèbre attaque Memcached.

Abuser du protocole CHARGEN pour lancer des attaques par amplification

Graph of the top emerging network-layer DDoS attack threats in 2022 Q2

Au deuxième trimestre, les attaques par amplification abusant du protocole CHARGEN ont augmenté de 378 % par rapport au trimestre précédent.

Initialement défini au sein de la RFC 864 (1983), le protocole Character Generator (CHARGEN) constitue un service de la suite de protocoles Internet. Il permet d'effectuer exactement ce que son nom indique, à savoir, générer des caractères de manière arbitraire et les envoyer en continu au client jusqu'à ce que ce dernier mette fin à la connexion. Développé à l'origine à des fins de tests et de débogage, il est rarement utilisé de nos jours, en raison de la facilité avec laquelle les attaques par amplification/réflexion peuvent en abuser.

Un acteur malveillant peut usurper l'adresse IP source de sa victime et tromper les serveurs de soutien implantés dans le monde entier afin qu'ils dirigent un flux de caractères arbitraires « en retour » vers les serveurs de la victime. Ce type d'attaque est désigné sous le nom d'attaque par amplification/réflexion. En présence d'un nombre suffisant de flux CHARGEN, les serveurs de la victime laissés sans protection se verraient submergés et incapables de faire face au trafic légitime. Cette situation entraînerait ainsi un événement de déni de service.

Attaques par amplification exploitant le protocole de découverte Ubiquiti

Au deuxième trimestre, les attaques lancées via Ubiquiti ont augmenté de 327 % par rapport au trimestre précédent.

Ubiquiti est une entreprise basée aux États-Unis. Elle fournit des services réseau et des appareils IdO (Internet des objets) aux consommateurs et aux entreprises. Les appareils Ubiquiti peuvent être identifiés sur un réseau à l'aide du protocole de découverte Ubiquiti, via le port UDP/TCP 10001.

Tout comme avec le vecteur d'attaque CHARGEN, les acteurs malveillants peuvent, là aussi, usurper l'adresse IP source afin qu'elle corresponde à l'adresse IP de la victime et ainsi affecter toutes les adresses IP dont le port 10001 est ouvert. Ces adresses répondent alors à la victime, qui se retrouve submergée une fois le volume suffisant atteint.

Attaque DDoS memcached

Au deuxième trimestre, les attaques DDoS Memcached ont augmenté de 287 % par rapport au trimestre précédent.

Memcached est un système de mise en cache de base de données conçu pour accélérer les sites web et les réseaux. Comme pour CHARGEN et Ubiquiti, les serveurs Memcached prenant en charge UDP peuvent être utilisés de manière abusive afin de lancer des attaques DDoS par amplification/réflexion. Dans ce cas précis, le pirate demande du contenu au système de mise en cache et usurpe l'adresse IP de la victime afin de l'utiliser en tant qu'IP source dans les paquets UDP. La victime est alors submergée sous les réponses Memcache, qui peuvent être amplifiées d'un facteur pouvant atteindre × 51 200.

Attaques DDoS sur la couche réseau, répartition par débit d'attaque

Les attaques volumétriques supérieures à 100 Gb/s ont augmenté de 8 % par rapport au trimestre précédent.

Il existe diverses manières de mesurer la taille d'une attaque DDoS sur la couche 3/4. L'une d'entre elles s'attache à son volume de trafic, mesuré en débit binaire (plus exactement, en térabits ou en gigabits par seconde). Une autre s'intéresse au nombre de paquets transmis, mesuré en termes de débit de paquets (plus spécifiquement, en millions de paquets par seconde).

Les attaques à haut débit binaire tentent de provoquer un événement de déni de service en encombrant la liaison Internet, tandis que les attaques à débit de paquets élevé essaient de surcharger les serveurs, les routeurs et les autres équipements physiques en ligne. Ces appareils consacrent une certaine quantité de mémoire et de puissance de calcul au traitement de chaque paquet. Par conséquent, lorsqu'il se trouve bombardé sous une multitude de paquets, l'appareil peut venir à manquer de ressources de traitement. Les paquets sont alors « abandonnés », c'est-à-dire que l'appareil se déclare incapable de les traiter. Pour les utilisateurs, ce constat se traduit par un événement de déni de service.

Répartition par débit de paquets

La majeure partie des attaques DDoS sur la couche réseau demeurent sous le seuil des 50 000 paquets par seconde. Si ce chiffre de 50 000 paquets par seconde se situe plutôt au bas de l'échelle du point de vue de Cloudflare, une telle attaque reste tout à fait capable d'abattre les propriétés Internet sans protection et d'entraîner des encombrements, même sur une connexion Gigabit Ethernet standard.

L'examen des changements au niveau de la taille des attaques nous permet de constater que les attaques volumineuses en termes de paquets (supérieures à 50 000 p/s) ont diminué au deuxième trimestre, entraînant ainsi une augmentation de 4 % des attaques de petite taille.

Graph of the distribution of network-layer DDoS attacks by packet rate in 2022 Q2

Répartition en fonction du débit binaire

Graph of the change in the distribution of network-layer DDoS attacks by packet rate quarter over quarter for 2022 Q2

Au deuxième trimestre, la majorité des attaques DDoS sur la couche réseau sont restées sous le seuil des 500 Mb/s. S'il s'agit là aussi d'une goutte d'eau à l'échelle de Cloudflare, ces attaques demeurent capables de forcer très rapidement la mise hors ligne des propriétés Internet de moindre capacité laissées sans protection ou, au minimum, d'entraîner des encombrements, même sur une connexion Gigabit Ethernet standard.

Il est intéressant de noter que les attaques de grande capacité (entre 500 Mb/s et 100 Gb/s) ont diminué de 20 à 40 % par rapport au trimestre précédent, mais que les attaques volumétriques supérieures à 100 Gb/s ont augmenté de 8 %.

Graph of the distribution of network-layer DDoS attacks by bit rate in 2022 Q2

Attaques DDoS sur la couche réseau, répartition par durée

Graph of the change in the distribution of network-layer DDoS attacks by bit rate quarter over quarter for 2022 Q2

Les attaques d'une durée supérieure à 3 heures ont augmenté de 9 % au deuxième trimestre.

Nous mesurons la durée d'une attaque en enregistrant la différence entre l'instant auquel nos systèmes la détectent pour la première fois en tant qu'attaque et le dernier paquet porteur de cette signature d'attaque que nous observons en direction de cette cible spécifique.

Au cours du deuxième trimestre, 52 % des attaques DDoS sur la couche réseau ont duré moins de dix minutes. Les 40 % suivants ont duré entre 10 et 20 minutes. Les 8 % restants regroupent les attaques d'une durée comprise entre 20 minutes et plus de 3 heures.

L'un des éléments importants à garder à l'esprit repose sur le fait que si une attaque ne dure que quelques minutes, ses répercussions en cas de réussite peuvent durer bien plus longtemps que la période d'attaque initiale. Les membres des équipes informatiques qui répondent à une attaque réussie peuvent tout à fait passer des heures, voire des jours, à restaurer les services.

Si la plupart des attaques se révèlent en effet de courte durée, nous pouvons constater une augmentation de plus de 15 % des attaques comprises entre 20 et 60 minutes, ainsi qu'une augmentation de 12 % des attaques de plus de trois heures.

Graph of the distribution of network-layer DDoS attacks by duration in 2022 Q2

Les attaques de courte durée peuvent facilement passer inaperçues, notamment les attaques en rafale, qui bombardent une cible d'un nombre important de paquets, d'octets ou de requêtes en l'espace de quelques secondes. Dans ce cas précis, les services de protection contre les attaques DDoS qui reposent sur l'atténuation manuelle en fonction d'une analyse de sécurité n'ont aucune chance d'atténuer l'attaque à temps. Ils ne peuvent qu'en tirer des enseignements lors de l'analyse post-attaque, avant de déployer une nouvelle règle permettant de filtrer les empreintes numériques de l'attaque et d'espérer la repérer la prochaine fois. Dans le même esprit, l'utilisation d'un service « à la demande » (dans lequel l'équipe de sécurité redirige le trafic vers un fournisseur de services pendant l'attaque) se révèle également inefficace, car l'attaque sera déjà terminée avant la redirection du trafic vers le fournisseur de services anti-DDoS à la demande.

Graph of the change in the distribution of network-layer DDoS attacks by duration quarter over quarter for 2022 Q2

Nous recommandons aux entreprises d'avoir recours à des services de protection contre les attaques DDoS automatisés et actifs en permanence, capables d'analyser le trafic et de relever les empreintes numériques suffisamment vite pour bloquer les attaques de courte durée.

Résumé

Cloudflare s'est donné pour mission de construire un Internet meilleur, c'est-à-dire un Internet plus sécurisé, plus rapide et plus fiable pour chacun, même en cas d'attaques DDoS. Dans le cadre de notre mission, nous proposons gratuitement à tous nos clients une protection contre les attaques DDoS illimitée et sans surcoût lié à l'utilisation, et ce depuis 2017. Au fil des ans, il est devenu de plus en plus facile pour les pirates de lancer des attaques DDoS. Toutefois, malgré la simplicité de mise en œuvre de ces dernières, nous souhaitons nous assurer qu'il soit tout aussi facile et gratuit pour les entreprises de toutes les tailles de se protéger contre les attaques DDoS de tous types.

Vous n'utilisez pas encore Cloudflare ? Commencez dès maintenant à protéger vos sites web avec nos offres gratuite et Pro ou contactez-nous pour bénéficier d'une protection contre les attaques DDoS complète sur l'ensemble de votre réseau grâce à Magic Transit.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
DDoSDDoS Reports (FR)Attacks (FR)Trends (FR)Cloudflare Radar (FR)Ransom Attacks (FR)UkraineRussia

Suivre sur X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Publications associées

20 novembre 2024 à 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

06 novembre 2024 à 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....