Bienvenue dans la 17e édition du rapport Cloudflare sur les menaces DDoS. Cette édition aborde le panorama des menaces DDoS, ainsi que les principales conclusions observées sur le réseau Cloudflare au cours du premier trimestre 2024.
Qu'est-ce qu'une attaque DDoS ?
Commençons par un bref récapitulatif. Une attaque DDoS, abréviation de « Distributed Denial of Service » (attaque par déni de service distribué), est un type de cyberattaque qui vise à mettre hors service ou à perturber des services Internet (comme un site web ou une application mobile) et à les rendre indisponibles pour les utilisateurs. Les attaques DDoS sont généralement menées en inondant le serveur de la victime sous un trafic plus important que ce dernier ne peut en traiter.
Pour en savoir plus sur les attaques DDoS et les autres types d'attaques, rendez-vous dans notre Centre d'apprentissage.
Accès aux rapports précédents
Pour rappel, vous pouvez accéder aux éditions précédentes des rapports consacrés aux menaces DDoS sur le blog de Cloudflare. Ces rapports sont également disponibles dans notre centre interactif, Cloudflare Radar. Sur Radar, vous retrouverez des tendances et des statistiques sur le trafic Internet mondial, les attaques et la technologie, en plus de fonctionnalités de zoom et de filtrage qui vous permettront d'examiner plus précisément des pays, des secteurs et des réseaux spécifiques. Nous y proposons également une API gratuite permettant aux universitaires, aux traceurs de données et aux autres passionnés du web d'étudier les tendances d'Internet à travers le monde.
Pour découvrir comment nous préparons ce rapport, reportez-vous à notre section Méthodologies.
Statistiques essentielles du premier trimestre 2024
Vous trouverez ci-dessous les principales informations relatives au premier trimestre 2024 :
L'année 2024 a commencé en fanfare. Les systèmes de défense de Cloudflare ont atténué automatiquement plus de 4,5 millions d'attaques DDoS au cours du premier trimestre, soit une augmentation de 50 % par rapport à l'année précédente.
Les attaques DDoS basées sur le DNS ont augmenté de 80 % par rapport à l'année précédente et demeurent le vecteur d'attaque le plus important.
Les attaques DDoS contre la Suède ont connu une augmentation de 466 % après son entrée dans l'OTAN, soit un écho de la tendance observée lors de l'entrée de la Finlande dans l'OTAN en 2023.
Commencer l'année 2024 en fanfare
Le premier trimestre 2024 vient de s'achever et, déjà, nos défenses automatisées ont atténué 4,5 millions d'attaques DDoS, soit l'équivalent de 32 % de l'ensemble des attaques DDoS atténuées par nos soins en 2023.
En termes de types d'attaques, le nombre d'attaques DDoS HTTP a augmenté de 93 % par rapport à l'année précédente et de 51 % par rapport au trimestre précédent. Les attaques DDoS sur la couche réseau (également connues sous le nom d'attaques DDoS sur les couches 3/4) ont augmenté de 28 % par rapport à l'année précédente et de 5 % par rapport au trimestre précédent.
Premier trimestre 2024 : Cloudflare a atténué 4,5 millions d'attaques DDoS
Lorsque nous comparons le nombre combiné d'attaques DDoS HTTP et d'attaques DDoS sur la couche 3/4 observées au premier trimestre 2024, nous constatons que, dans l'ensemble, ce nombre a augmenté de 50 % par rapport à l'année précédente et de 18 % par rapport au trimestre précédent.
Attaques DDoS, répartition annuelle et trimestrielle
Au total, nos systèmes ont atténué 10 500 milliards de requêtes liées à des attaques DDoS HTTP au cours du premier trimestre. Nos systèmes ont également atténué plus de 59 pétaoctets de trafic hostile lié à des attaques DDoS, uniquement sur la couche réseau.
Parmi ces attaques DDoS sur la couche réseau, beaucoup ont dépassé le térabit par seconde, sur une base pratiquement hebdomadaire. L'attaque la plus volumineuse que nous ayons atténuée jusqu'à présent en 2024 a été lancée par un botnet reposant sur une variante de Mirai. Cette attaque a atteint les 2 Tb/s et visait un fournisseur d'hébergement asiatique protégé par Cloudflare Magic Transit. Les systèmes de Cloudflare ont automatiquement détecté et atténué l'attaque.
Principalement composé d'appareils IdO infectés, le botnet Mirai reste tristement célèbre pour ses attaques DDoS de grande ampleur. Il a notamment perturbé l'accès Internet aux États-Unis en 2016 en ciblant des fournisseurs de services DNS. Près de huit ans plus tard, les attaques Mirai sont toujours très courantes. Quatre attaques DDoS HTTP sur cent et deux attaques DDoS sur cent visant les couches 3/4 sont lancées par un botnet reposant sur une variante de Mirai. La raison pour laquelle nous parlons de « variante » tient au fait que le code source de Mirai a été rendu public et qu'au fil des ans, il a connu de nombreuses permutations par rapport à l'original.
Le botnet Mirai lance une attaque DDoS de 2 Tb/s contre un fournisseur d'hébergement asiatique
Les attaques DNS bondissent de 80 %
Au mois de mars 2024, nous avons inauguré le système Advanced DNS Protection, l'un de nos derniers systèmes de défense contre les attaques DDoS. Conçu pour protéger contre les attaques DDoS DNS les plus sophistiquées, ce système vient compléter nos systèmes existants.
Nous n'avons pas décidé d'investir dans ce nouveau système par hasard. Les attaques DDoS basées sur le DNS sont devenues le vecteur d'attaque le plus important et leur proportion parmi les attaques sur la couche réseau ne cesse de croître. Au cours du premier trimestre 2024, la part des attaques DDoS DNS a ainsi augmenté de 80 % par rapport à l'année précédente, pour représenter environ 54 % de l'ensemble des attaques.
Attaques DDoS basées sur le DNS, répartition annuelle et trimestrielle
Fait remarquable, malgré la hausse des attaques DNS et en raison de l'augmentation générale de tous les types d'attaques DDoS, la part de chaque type d'attaque reste la même que celle observée dans notre précédent rapport couvrant le dernier trimestre 2023. Les attaques DDoS HTTP totalisent toujours 37 % de l'ensemble des attaques DDoS et les attaques DDoS DNS 33 %, tandis que les 30 % restants englobent tous les autres types d'attaques sur la couche 3/4, comme le flood SYN et le flood UDP.
Répartition par type d'attaque
En réalité, les attaques SYN Flood représentaient la deuxième attaque la plus courante sur la couche 3/4. Les troisièmes plus fréquentes étaient les attaques RST Flood, un autre type d'attaque DDoS basée sur TCP. Les attaques UDP Flood arrivaient en quatrième position, avec une part de 6 %.
Principaux vecteurs d'attaque
Lorsque nous analysons les vecteurs d'attaque les plus courants, nous vérifions également lesquels ont connu la plus forte croissance, sans nécessairement entrer dans la liste des dix vecteurs principaux. Parmi les vecteurs d'attaque les plus dynamiques (menaces émergentes), le Jenkins Flood a connu la plus forte croissance avec une hausse de plus de 826 % par rapport au trimestre précédent.
L'attaque Jenkins Flood est une attaque DDoS qui exploite les vulnérabilités du serveur d'automatisation Jenkins, notamment par le biais de services UDP multicast/broadcast et DNS multicast. Les acteurs malveillants peuvent envoyer de petites requêtes spécialement conçues vers un port UDP public situé sur des serveurs Jenkins, afin de les amener à répondre par des quantités de données disproportionnées. Cette opération peut amplifier considérablement le volume de trafic, submerger le réseau de la cible et conduire à une interruption de service. Jenkins a remédié à cette vulnérabilité (CVE-2020-2100) en 2020 en désactivant ces services par défaut dans les versions ultérieures. Toutefois, comme nous pouvons le constater, cette vulnérabilité est toujours utilisée de manière abusive pour lancer des attaques DDoS, même 4 ans plus tard.
Vecteurs d'attaque ayant connu la plus forte croissance par rapport au trimestre précédent
Flood HTTP/2 Continuation
Un autre vecteur d'attaque qui mérite d'être examiné est le HTTP/2 Continuation Flood. Ce type d'attaque repose sur une vulnérabilité découverte et signalée publiquement par le chercheur Bartek Nowotarski le 3 avril 2024.
La vulnérabilité HTTP/2 Continuation Flood cible les implémentations du protocole HTTP/2 qui traitent de manière incorrecte les trames HEADERS et plusieurs trames CONTINUATION. L'acteur malveillant adresse une séquence de trames CONTINUATION sans le marqueur END_HEADERS, afin d'entraîner des problèmes potentiels au niveau du serveur, comme une défaillance par manque de mémoire ou l'épuisement du processeur. L'attaque HTTP/2 Continuation Flood permet (même à une seule machine) de perturber les sites web et les API via le HTTP/2, tout en apportant un défi supplémentaire en matière de détection, rendue plus difficile par l'absence de requêtes visibles dans les journaux d'accès HTTP.
Cette vulnérabilité constitue une menace potentiellement plus grave et dévastatrice que la vulnérabilité déjà connue, HTTP/2 Rapid Reset, qui a donné lieu à certaines des plus vastes campagnes d'attaques DDoS HTTP/2 jamais enregistrées. Cloudflare a été visée par des milliers d'attaques DDoS hyper-volumétriques pendant cette campagne. Les attaques ont atteint plusieurs millions de requêtes par seconde. Le débit moyen d'une attaque enregistrée par Cloudflare au cours de cette campagne était de 30 millions de r/s. Parmi ces attaques, près de 89 dépassaient les 100 millions de r/s, tandis que la plus volumineuse atteignait les 201 millions de r/s. Nous avons publié des informations supplémentaires à ce sujet dans notre rapport sur les menaces DDoS au troisième trimestre 2023.
La campagne d'attaques DDoS hyper-volumétriques HTTP/2 Rapid Reset du troisième trimestre 2023
Le réseau Cloudflare, son implémentation HTTP/2 et les clients utilisant nos services WAF/CDN ne sont pas touchés par cette vulnérabilité. Par ailleurs, aucun acteur malveillant n'exploite cette vulnérabilité « en milieu naturel » à notre connaissance.
Plusieurs CVE ont été attribuées aux différentes implémentations HTTP/2 concernées par cette vulnérabilité. Une alerte CERT publiée par Christopher Cullen de la Carnegie Mellon University et couverte par Bleeping Computer dresse la liste des différentes CVE :
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}
Affected service | CVE | Details |
---|---|---|
Node.js HTTP/2 server | CVE-2024-27983 | Sending a few HTTP/2 frames can cause a race condition and memory leak, leading to a potential denial of service event. |
Envoy's oghttp codec | CVE-2024-27919 | Not resetting a request when header map limits are exceeded can cause unlimited memory consumption which can potentially lead to a denial of service event. |
Tempesta FW | CVE-2024-2758 | Its rate limits are not entirely effective against empty CONTINUATION frames flood, potentially leading to a denial of service event. |
amphp/http | CVE-2024-2653 | It collects CONTINUATION frames in an unbounded buffer, risking an out of memory (OOM) crash if the header size limit is exceeded, potentially resulting in a denial of service event. |
Go's net/http and net/http2 packages | CVE-2023-45288 | Allows an attacker to send an arbitrarily large set of headers, causing excessive CPU consumption, potentially leading to a denial of service event. |
nghttp2 library | CVE-2024-28182 | Involves an implementation using nghttp2 library, which continues to receive CONTINUATION frames, potentially leading to a denial of service event without proper stream reset callback. |
Apache Httpd | CVE-2024-27316 | A flood of CONTINUATION frames without the END_HEADERS flag set can be sent, resulting in the improper termination of requests, potentially leading to a denial of service event. |
Apache Traffic Server | CVE-2024-31309 | HTTP/2 CONTINUATION floods can cause excessive resource consumption on the server, potentially leading to a denial of service event. |
Envoy versions 1.29.2 or earlier | CVE-2024-30255 | Consumption of significant server resources can lead to CPU exhaustion during a flood of CONTINUATION frames, which can potentially lead to a denial of service event. |
Service affecté
CVE
Détails
Serveur HTTP/2 Node.js
CVE-2024-27983
L'envoi de quelques trames HTTP/2 peut entraîner une situation de concurrence concurrentielle et une fuite de mémoire, qui peuvent conduire à un événement de déni de service potentiel.
Codec oghttp d'Envoy
CVE-2024-27919
Le fait de ne pas réinitialiser une requête lorsque les limites des cartes d'en-têtes sont dépassées peut entraîner une consommation illimitée de mémoire et potentiellement conduire à un événement de déni de service.
Tempesta FW
CVE-2024-2758
Ses mesures de contrôle de volume ne sont pas totalement efficaces contre les trames CONTINUATION vides, qui peuvent conduire à un événement de déni de service.
amphp/http
CVE-2024-2653
La collection rassemble les trames CONTINUATION au sein d'une mémoire tampon illimitée, en s'exposant au risque de défaillance par manque de mémoire (OOM, Out Of Memory) si la limite de taille de l'en-tête est dépassée. Cette situation peut entraîner un événement de déni de service.
Packages net/http et net/http2 de Go
CVE-2023-45288
Ils permettent à un acteur malveillant d'envoyer un ensemble d'en-têtes arbitrairement grand, afin d'entraîner une consommation excessive du processeur susceptible de conduire à un événement de déni de service.
Bibliothèque nghttp2
CVE-2024-28182
Elle implique une implémentation utilisant la bibliothèque nghttp2, qui continuera à recevoir des trames CONTINUATION. Cette situation peut conduire à un événement de déni de service sans rappel de réinitialisation de flux approprié.
Apache Httpd
CVE-2024-27316
Il est possible d'envoyer un flot de trames CONTINUATION sans marqueur END_HEADERS défini, afin d'entraîner une terminaison incorrecte des requêtes susceptible de conduire à un événement de déni de service.
Apache Traffic Server
CVE-2024-31309
Les floods HTTP/2 CONTINUATION peuvent entraîner une consommation excessive de ressources sur le serveur, susceptible de conduire à un événement de déni de service.
Envoy version 1.29.2 ou antérieure
CVE-2024-30255
L'importante consommation de ressources serveur peut conduire à l'épuisement du processeur lors d'un flood de trames CONTINUATION et ainsi potentiellement entraîner un événement de déni de service.
Principaux secteurs visés
Lorsque nous analysons des statistiques des attaques, nous utilisons le secteur du client tel qu'il est enregistré dans nos systèmes afin de déterminer les secteurs les plus attaqués. Au cours du premier trimestre 2024, le secteur le plus fréquemment visé par des attaques DDoS HTTP en Amérique du Nord était celui du marketing et de la publicité. En Afrique et en Europe, il s'agissait du secteur des technologies de l'information et d'Internet. Au Moyen-Orient, le secteur le plus attaqué était celui des logiciels. En Asie, celui des jeux/jeux de hasard, et en Amérique du Sud, le secteur de la banque, des assurances et des services financiers (Banking, Financial Services and Insurance, BFSI). Enfin, et non des moindres, le secteur le plus visé en Océanie était celui des télécommunications.
Principaux secteurs visés par des attaques DDoS HTTP, répartition par région
À l'échelle mondiale, le secteur des jeux/jeux de hasard a été le plus touché par des attaques DDoS HTTP. Un peu plus de sept requêtes DDoS sur cent atténuées par Cloudflare visaient le secteur des jeux/jeux de hasard. La deuxième place revenait au secteur des technologies de l'information et d'Internet, et la troisième à celui du marketing et de la publicité.
Principaux secteurs visés par des attaques DDoS HTTP
Avec une part représentant 75 % de l'ensemble des octets envoyés dans le cadre d'une attaque DDoS sur la couche réseau, le secteur des technologies de l'information et d'Internet a été le plus touché par des attaques DDoS sur la couche réseau. Une explication possible à ce chiffre réside dans le fait que les entreprises de ce secteur peuvent agir comme des « super agrégateurs » d'attaques et recevoir les attaques DDoS destinées en réalité à leurs clients finaux. Le secteur des télécommunications, le secteur de la banque, des assurances et des services financiers (BFSI), le secteur des jeux/jeux de hasard et celui des logiciels totalisaient les 3 % suivants.
Principaux secteurs visés par les attaques DDoS sur les couches 3/4
Si nous normalisons les données en divisant le trafic hostile par le trafic total vers un secteur donné, nous obtenons une image complètement différente. Sur le front HTTP, le secteur des cabinets et services juridiques s'est révélé le plus visé, car plus de 40 % de leur trafic était lié à des attaques DDoS HTTP. Le secteur de la biotechnologie est arrivé en deuxième position, avec une part de 20 % du trafic lié aux attaques DDoS HTTP. En troisième position, les organismes à but non lucratif ont enregistré une part de 13 % des attaques DDoS HTTP. La quatrième place est détenue par le secteur de l'aviation et de l'aérospatiale, suivi par celui des transports, de la vente en gros, des relations gouvernementales, du cinéma, de la politique publique et des loisirs pour adultes, qui viennent compléter le top 10.
Principaux secteurs visés par des attaques DDoS HTTP (normalisation)
Pour revenir à la couche réseau, une fois les données normalisées, le secteur des technologies de l'information et d'Internet est resté le plus visé par des attaques DDoS sur la couche 3/4, car près d'un tiers de son trafic était lié à des attaques. En seconde position, le secteur textile totalisait une part de 4 % des attaques. La troisième place est décernée au secteur du génie civil, suivi par celui de la banque, des assurances et des services financiers (BFSI), le secteur militaire, la construction, les appareils médicaux, la défense et l'espace, les jeux et les jeux de hasard, et enfin, la vente au détail, qui complètent le top 10.
Principaux secteurs visés par des attaques DDoS sur la couche 3/4 (normalisation)
Principales sources d'attaques DDoS
Lors de l'analyse des sources d'attaques DDoS HTTP, nous examinons l'adresse IP de la source afin de déterminer l'emplacement d'origine de ces attaques. Un pays ou une région s'imposant comme une source importante d'attaques indique très probablement l'existence d'une forte présence de nœuds de botnet derrière un réseau privé virtuel (Virtual Private Network, VPN) ou de points de terminaison de proxy que les acteurs malveillants peuvent utiliser pour dissimuler leur origine.
Lors du premier trimestre 2024, les États-Unis se sont révélé la principale source de trafic hostile DDoS HTTP, puisqu'un cinquième des requêtes liées à des attaques DDoS provenaient d'adresses IP domiciliées dans ce pays. La Chine arrivait en second, suivie par l'Allemagne, l'Indonésie, le Brésil, la Russie, l'Iran, Singapour, l'Inde et l'Argentine.
Principales sources d'attaques DDoS HTTP
Les adresses IP sources peuvent être usurpées au niveau de la couche réseau. Ainsi, plutôt que de nous fier aux adresses IP pour déterminer la source, nous utilisons l'emplacement des datacenters au sein desquels le trafic hostile a été ingéré. La vaste couverture mondiale du réseau Cloudflare, présent dans plus de 310 villes à travers le monde, nous permet ainsi d'obtenir des résultats assortis d'une certaine précision géographique.
L'emplacement de nos datacenters nous permet de constater qu'au cours du premier trimestre 2024, plus de 40 % de trafic hostile lié à des attaques DDoS sur la couche 3/4 a été ingéré dans nos datacenters américains, un chiffre qui fait des États-Unis la plus grande source d'attaques sur les couches 3/4. Loin derrière, l'Allemagne arrivait à la seconde place (6 %), suivie par le Brésil, Singapour, la Russie, la Corée du Sud, Hong Kong, le Royaume-Uni, les Pays-Bas et le Japon.
Principales sources d'attaques DDoS sur les couches 3/4
Si nous normalisons les données en divisant le trafic hostile par le trafic total vers un pays ou une région donné, nous obtenons un résultat totalement différent. La source la plus importante de trafic HTTP était Gibraltar, avec près d'un tiers de son trafic lié à des attaques DDoS. Sainte-Hélène se plaçait en deuxième position, suivie par les Îles vierges britanniques, la Libye, le Paraguay, Mayotte, la Guinée équatoriale, l'Argentine et l'Angola.
Principales sources d'attaques DDoS HTTP (normalisation)
Pour revenir à la couche réseau, les résultats se révèlent là aussi assez différents, une fois les données normalisées. Près de 89 % du trafic ingéré dans nos datacenters situés au Zimbabwe était lié à des attaques DDoS sur la couche 3/4. Au Paraguay, cette part dépassait les 56 %, tandis qu'en Mongolie, elle atteignait près de 35 % des attaques. La Moldavie, la République démocratique du Congo, l'Équateur, Djibouti, l'Azerbaïdjan, Haïti et la République dominicaine viennent compléter la liste des autres pays principaux.
Principales sources d'attaques DDoS sur la couche 3/4 (normalisation)
Pays les plus attaqués
Lorsque nous analysons les attaques DDoS lancées contre nos clients, nous nous servons de leur pays de facturation pour déterminer le « pays attaqué » (ou la région). Au cours du premier trimestre 2024, ce sont les États-Unis qui ont subi le plus d'attaques DDoS HTTP. Près d'une requête DDoS sur dix atténuée par Cloudflare visait ainsi ce pays. La Chine arrive à la deuxième place, suivie par le Canada, le Vietnam, l'Indonésie, Singapour, Hong Kong, Taïwan, Chypre et l'Allemagne.
Régions et pays les plus touchés par des attaques DDoS HTTP
Si nous normalisons les données en divisant le trafic hostile par le trafic total vers un pays ou une région donné, la liste change radicalement. Plus de 63 % du trafic HTTP destiné au Nicaragua était lié à des attaques DDoS, soit un chiffre qui en fait la région la plus attaquée. La deuxième place est attribuée à l'Albanie, suivie par la Jordanie, la Guinée, Saint-Marin, la Géorgie, l'Indonésie, le Cambodge, le Bangladesh et l'Afghanistan.
Régions et pays les plus touchés par des attaques DDoS HTTP (normalisation)
Du point de vue de la couche réseau, la Chine s'est révélée le pays le plus attaqué, car 39 % de l'ensemble des octets hostiles liés à une attaque DDoS atténuée par Cloudflare au cours du premier trimestre 2024 étaient destinés aux clients chinois de Cloudflare. La ville de Hong Kong arrivait en second, suivie par Taïwan, les États-Unis et le Brésil.
Régions et pays les plus touchés par des attaques DDoS sur la couche 3/4
Pour revenir à la couche réseau, une fois les données normalisées, Hong Kong prend la tête des régions les plus visées. Le trafic lié aux attaques DDoS sur la couche 3/4 totalisait plus de 78 % de l'ensemble du trafic destiné à Hong Kong. La Chine arrive à la deuxième place, avec une part d'attaques DDoS de 75 %, suivie par le Kazakhstan, la Thaïlande, Saint-Vincent-et-les-Grenadines, la Norvège, Taïwan, la Turquie, Singapour et le Brésil.
Régions et pays les plus touchés par des attaques DDoS sur la couche 3/4 (normalisation)
Cloudflare est là pour vous aider, peu importe le type, la taille ou la durée de l'attaque
Cloudflare s'est donné pour mission de contribuer à bâtir un Internet meilleur, c'est-à-dire de partager notre vision dans laquelle le réseau demeure sécurisé, performant et accessible à tous. Avec quatre attaques DDoS HTTP sur dix durant plus de 10 minutes et près de trois sur dix plus d'une heure, le défi est considérable. Toutefois, qu'une attaque implique plus de 100 000 requêtes par seconde (comme c'est le cas d'une attaque sur dix) ou qu'elle dépasse le million de requêtes par seconde (une rareté observée dans seulement quatre attaques sur mille), les défenses de Cloudflare restent impénétrables.
Depuis le lancement de sa protection illimitée contre les attaques DDoS en 2017, Cloudflare n'a pas ménagé ses efforts pour honorer sa promesse : proposer gratuitement une protection contre les attaques DDoS à toutes les entreprises, en veillant à ce que notre technologie avancée et notre robuste architecture réseau ne permettent pas uniquement de repousser les attaques, mais également de préserver les performances, le tout sans compromis.