Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Rapport sur les menaces DDoS au quatrième trimestre 2023

2024-01-09

Lecture: 14 min.
Cet article est également disponible en English, en 繁體中文, en Deutsch, en 日本語, en 한국어, en Português, en Español et en 简体中文.

Bienvenue dans la seizième édition du rapport Cloudflare sur les menaces DDoS. Cette édition aborde les tendances et les conclusions essentielles en matière d'attaques DDoS pour le quatrième et dernier trimestre de l'année 2023, en plus de passer en revue les tendances principales survenues tout au long de l'année.

DDoS threat report for 2023 Q4

Que sont les attaques DDoS ?

Les attaques DDoS, ou attaques par déni de service distribué, constituent un type de cyberattaque visant à perturber les sites web et les services en ligne. Elles ont pour objectif de rendre ces derniers indisponibles aux utilisateurs légitimes en les submergeant sous un flux de trafic plus important que ce qu'ils peuvent traiter, un peu à l'instar d'un embouteillage empêchant les conducteurs d'atteindre leur destination.

Ce rapport abordera les trois types principaux d'attaques DDoS. Le premier repose sur une attaque DDoS intensive en requêtes HTTP visant à noyer les serveurs HTTP sous plus de requêtes qu'ils ne peuvent en traiter afin de provoquer un événement de déni de service. Le second met en œuvre une attaque DDoS intensive sur le plan des paquets IP visant à submerger les équipements internes (in-line) comme les routeurs, les pare-feu et les serveurs sous un flux de paquets plus important qu'ils ne peuvent les traiter. Le troisième enfin s'appuie sur une attaque intensive en termes d'octets, visant à saturer et à encombre la liaison Internet à l'origine de « l'embouteillage » dont nous avons parlé. Dans ce rapport, nous mettrons en lumière les diverses techniques et informations sur ces trois types d'attaques.

Vous trouverez les éditions précédentes du rapport ici, ainsi que dans notre centre interactif, Cloudflare Radar. Cloudflare Radar présente des tendances et des statistiques sur le trafic Internet mondial, les attaques et la technologie, avec des fonctionnalités de zoom et de filtrage des informations en fonction des pays, des secteurs et des fournisseurs de services spécifiques. Cloudflare Radar propose également une API gratuite permettant aux universitaires, aux traceurs de données et aux autres passionnés du web d'étudier l'utilisation d'Internet autour du monde.

Pour découvrir comment nous préparons ce rapport, reportez-vous à notre section Méthodologies.

Conclusions principales

  1. Lors du quatrième trimestre, nous avons observé une augmentation de 117 % des attaques DDoS sur la couche réseau par rapport à l'année précédente, ainsi qu'une activité DDoS généralement accrue visant les sites web de commerce, d'expédition et de relations publiques pendant et autour du Black Friday et de la période des fêtes.

  2. Au quatrième trimestre, le trafic des attaques DDoS visant Taïwan a enregistré une croissance de 3 370 % par rapport à l'année précédente, en raison des élections générales à venir et de tensions signalées avec la Chine. Le pourcentage de trafic d'attaques DDoS visant les sites web israéliens a augmenté de 27 % par rapport au trimestre précédent et le pourcentage de trafic visant les sites web palestiniens de 1 126 % par rapport au trimestre précédente, tandis que le conflit militaire entre Israël et le Hamas se poursuivait.

  3. Au quatrième trimestre, nous avons constaté une hausse impressionnante (61 839 %) du trafic d'attaques DDoS visant les sites web des services environnementaux par rapport à l'année précédente. Cette flambée coïncidait avec la tenue de la 28e Conférence des Nations unies sur le changement climatique (COP 28).

Poursuivez votre lecture pour consulter une analyse approfondie de ces découvertes clés et de statistiques supplémentaires susceptibles de redéfinir votre compréhension des défis actuels en matière de cybersécurité !

Illustration d'une attaque DDoS

Attaques DDoS HTTP hyper-volumétriques

L'année 2023 s'est révélée celle des territoires inconnus. Les attaques DDoS ont atteint de nouveaux sommets, tant en termes de taille que de sophistication. La communauté Internet au sens large, y compris Cloudflare, a fait face à une campagne persistante et délibérément orchestrée de milliers d'attaques DDoS hyper-volumétriques à des taux encore jamais observés.

Très complexes, ces attaques exploitaient une vulnérabilité du protocole HTTP/2. Cloudflare a développé une technologie spécifiquement conçue pour atténuer les effets de cette vulnérabilité et collaboré avec d'autres acteurs du secteur pour la révéler de manière responsable.

Dans le cadre de cette campagne d'attaques DDoS, en 2023, nos systèmes ont atténué l'attaque la plus volumineuse que nous ayons observée jusqu'ici, avec 201 millions de requêtes par seconde (r/s). C'est presque huit fois plus que notre précédente attaque record enregistrée à 26 millions de r/s en 2022.

Les attaques DDoS HTTP les plus volumineuses observées par Cloudflare, répartition annuelle

Croissance des attaques DDoS sur la couche réseau

Après cette campagne d'attaques hyper-volumétriques, nous avons constaté une chute inattendue du nombre d'attaques DDoS HTTP. Dans l'ensemble, sur l'année 2023, nos défenses automatisées ont atténué plus de 5,2 millions d'attaques DDoS HTTP, totalisant plus de 26 000 milliards de requêtes. Ce chiffre correspond en moyenne à 594 attaques DDoS HTTP et trois milliards de requêtes atténuées par heure.

Malgré ces chiffres astronomiques, le nombre de requêtes liées à des attaques DDoS HTTP a en réalité diminué de 20 % par rapport à 2022. Ce déclin ne s'est pas montré qu'annuel, mais a également été observé lors du quatrième trimestre 2024, durant lequel le nombre de requêtes liées à des attaques DDoS HTTP a diminué de 7 % par rapport à l'année précédente et de 18 % par rapport au trimestre précédent.

Au niveau de la couche réseau, nous avons constaté une tendance complètement différente. Nos défenses automatisées ont ainsi atténué 8,7 millions d'attaques DDoS sur la couche réseau en 2023. Ce chiffre représente une augmentation de 85 % par rapport à 2022.

Au quatrième trimestre 2023, les défenses automatisées de Cloudflare ont atténué plus de 80 pétaoctets d'attaques lancées contre la couche réseau. En moyenne, nos systèmes ont atténué automatiquement 996 attaques DDoS sur la couche réseau et 27 téraoctets par heure. Le nombre d'attaques DDoS sur la couche réseau observées au quatrième trimestre 2023 a augmenté de 175 % par rapport à l'année précédente et de 25 % par rapport au trimestre précédent.

Attaques DDoS HTTP et sur la couche réseau, répartition trimestrielle

Les attaques DDoS augmentent pendant et autour de la COP 28

Le panorama des cybermenaces a observé un virage majeur lors du dernier trimestre de l'année 2023. Alors que le secteur des cryptomonnaies tenait initialement la tête en termes de volume de requêtes liées à des attaques DDoS HTTP, une nouvelle cible a émergé en tant que première victime. Le secteur des services environnementaux a connu une hausse sans précédent de ces dernières, qui constituaient la moitié de l'ensemble de son trafic HTTP. L'augmentation stupéfiante du nombre de ces attaques (618 fois supérieur) par rapport à l'année précédente a mis en valeur une tendance perturbante au sein du paysage des cybermenaces.

Le bond des cyberattaques coïncidait avec la COP 28, qui s'est tenue du 30 novembre au 12 décembre 2023. Cette conférence fut un événement capital, en signalant ce que bon nombre ont considéré comme le « début de la fin » pour l'ère des carburants fossiles. Nous avons également observé un pic remarquable des attaques HTTP visant les sites web des services environnementaux lors de la période précédant tout juste la COP 28. Il ne s'agissait donc pas d'un schéma isolé, circonscrit à ce seul événement.

Après réexamen des données historiques, notamment autour de la COP 26 et de la COP 27, ainsi que des autres résolutions ou annonces de l'ONU liées à l'environnement, un schéma similaire émerge. Chacun de ces événements s'est accompagné d'une augmentation correspondante des cyberattaques à l'encontre des sites web des services environnementaux.

En février et mars 2023, des événements importants autour de l'environnement, comme la résolution de l'ONU sur la justice climatique et le lancement du Freshwater Challenge du Programme des Nations Unies pour l'environnement, ont potentiellement rehaussé le profil des sites web environnementaux, avec une possible corrélation sous forme d'augmentation des attaques sur ces derniers​​​​.

Ce schéma récurrent souligne l'intersection grandissante entre les problèmes environnementaux et la cybersécurité, qui deviennent de plus en plus un point de convergence pour les acteurs malveillants à l'ère numérique.

Attaques DDoS et Iron Swords

Les résolutions de l'ONU ne sont pas le seul facteur déclencheur d'attaques DDoS. Les cyberattaques, et notamment les attaques DDoS, sont depuis longtemps un outil de guerre et de perturbation. Nous avons constaté une hausse de l'activité DDoS lors de la guerre russo-ukrainienne et observons actuellement le même phénomène au cours de la guerre entre Israël et le Hamas. Nous avons signalé cette cyberactivité pour la première fois dans notre rapport intitulé Les cyberattaques dans la guerre entre Israël et le Hamas et avons continué de surveiller cette activité tout au long du quatrième trimestre.

L'opération « Iron Swords » est le nom de l'offensive militaire lancée par Israël contre le Hamas après l'attaque du 7 octobre perpétrée par le Hamas. Nous n'avons cessé de voir des attaques DDoS cibler les deux camps tout au long de ce conflit armé en cours.

Les attaques DDoS visant les sites web israéliens et palestiniens, par secteur

Comparativement au trafic de chaque région, les territoires palestiniens ont été la deuxième région la plus visée par des attaques DDoS HTTP au quatrième trimestre. Plus de 10 % de l'ensemble des requêtes HTTP adressées à des sites web palestiniens faisaient partie d'attaques DDoS, pour un total de 1 milliard de requêtes DDoS, soit une augmentation de 1 126 % par rapport au trimestre précédent. 90 % de ces attaques DDoS ont ciblé des sites web bancaires palestiniens, tandis que la tranche suivante (8 %) s'en prenait aux plateformes Internet et en lien avec les technologies de l'information.

Principaux secteurs palestiniens attaqués

De manière similaire, nos systèmes ont automatiquement atténué plus de 2,2 milliards de requêtes DDoS HTTP ciblant des sites web israéliens. Si ce chiffre de 2,2 milliards représente une baisse par rapport au trimestre précédent (et à l'année précédente), il constituait néanmoins un pourcentage plus important du trafic total destiné à Israël. Ce chiffre normalisé représente une augmentation de 27 % par rapport au trimestre précédent, mais une baisse de 92 % par rapport à l'année précédente. Malgré cette quantité de trafic hostile supérieure, Israël a été la 77e région la plus attaquée comparativement à son propre trafic. Le pays a également été le 33e pays le plus attaqué en fonction du volume total des attaques, tandis que les territoires palestiniens se plaçaient à la 42e position.

Sur l'ensemble des sites web israéliens attaqués, le secteur de la presse et des médias s'est révélé la cible principale, en recevant près de 40 % de l'ensemble du trafic DDoS HTTP destiné à Israël. Le deuxième secteur le plus visé était celui des logiciels. Le secteur de la banque, des assurances et des services financiers (BFSI, Banking, Financial Services and Insurance) arrivait à la troisième place.

Principaux secteurs israéliens attaqués

Nous constatons la même tendance au niveau de la couche réseau. Les réseaux palestiniens ont été touchés par 470 téraoctets de trafic hostile, soit plus de 68 % de l'ensemble du trafic destiné à ces derniers. Uniquement surpassé par celui de la Chine, ce chiffre a positionné les territoires palestiniens comme la deuxième région la plus visée par des attaques DDoS sur la couche réseau à travers le monde, comparativement à l'ensemble du trafic qui leur était destiné. En volume de trafic absolu, les territoires palestiniens sont arrivés en troisième position. Ces 470 téraoctets représentaient approximativement 1 % de l'ensemble du trafic DDoS atténué par Cloudflare.

Les réseaux israéliens, en revanche, n'ont été visés que par 2,4 téraoctets de trafic hostile, soit un chiffre (normalisé) qui plaçait le pays au huitième rang des pays les plus touchés par des attaques DDoS sur la couche réseau. Ces 2,4 téraoctets représentaient pratiquement 10 % de l'ensemble du trafic destiné aux réseaux israéliens.

Principaux pays attaqués

En changeant de point de vue, nous avons constaté que 3 % de l'ensemble des octets ingérés dans nos datacenters basés en Israël faisaient partie d'attaques DDoS sur la couche réseau. Ce chiffre était considérablement plus élevé dans nos datacenters situés en Palestine, avec approximativement 17 % des octets.

Concernant la couche applicative, nous avons remarqué que 4 % des requêtes HTTP provenant d'adresses IP palestiniennes faisaient partie d'attaques DDoS, tandis que côté Israël, il s'agissait de pratiquement 2 % des requêtes HTTP.

Principales sources d'attaques DDoS

Au troisième trimestre 2022, la Chine était la plus grande source de trafic hostile lié aux attaques DDoS HTTP. Toutefois, depuis le quatrième trimestre 2022, les États-Unis ont pris la tête des plus grandes sources d'attaques DDoS et ont maintenu cette position peu enviable pendant cinq trimestres consécutifs. De manière similaire, nos datacenters situés aux États-Unis sont ceux qui ingèrent le plus de trafic hostile lié à des attaques DDoS sur la couche réseau, avec plus de 38 % de l'ensemble des octets hostiles.

Attaques DDoS HTTP originaires de Chine et des États-Unis, répartition trimestrielle

Conjointement, la Chine et les États-Unis totalisent un peu plus d'un quart de l'ensemble du trafic DDoS HTTP à travers le monde. Le Brésil, l'Allemagne, l'Indonésie et l'Argentine représentent les 25 % suivants.

Principales sources d'attaques DDoS HTTP

Ces gros chiffres correspondent généralement aux marchés importants. Pour cette raison, nous normalisons également le trafic hostile originaire de chaque pays en le comparant à son trafic sortant. Lorsque nous effectuons ce type d'opération, nous nous retrouvons souvent avec une quantité de trafic hostile disproportionnée originaire des petites nations insulaires ou des petits marchés. Au quatrième trimestre, 40 % du trafic sortant de Sainte-Hélène faisait partie d'attaques DDoS HTTP, soit un chiffre plaçant le pays à la première place. La Libye arrive en second après « l'île tropicale volcanique du bout du monde » et le Swaziland (également connu sous le nom d'Eswatini) en troisième. L'Argentine et l'Égypte suivent en quatrième et cinquième position, respectivement.

Principales sources d'attaques DDoS HTTP par rapport au trafic de chaque pays

Pour les attaques sur la couche réseau, c'est le Zimbabwe qui a décroché la première place. Près de 80 % de l'ensemble du trafic ingéré dans notre datacenter situé au Zimbabwe était malveillant. Le Paraguay arrive en second et Madagascar en troisième.

Principales sources d'attaques DDoS sur la couche réseau par rapport au trafic de chaque pays

Les secteurs les plus visés

En volume de trafic hostile, c'est le secteur des cryptomonnaies qui a été le plus attaqué au quatrième trimestre. Il a ainsi été la cible de plus de 330 milliards de requêtes HTTP. Ce chiffre représente plus de 4 % de l'ensemble du trafic DDoS HTTP du trimestre. Le deuxième secteur le plus attaqué a été celui des jeux/jeux de hasard. Ces secteurs sont connus pour être des cibles particulièrement convoitées, qui attirent une forte proportion de trafic et d'attaques.

Principaux secteurs visés par des attaques DDoS HTTP

Concernant les attaques sur la couche réseau, c'est le secteur d'Internet et des technologies de l'information qui a été le plus visé, en totalisant plus de 45 % de l'ensemble du trafic DDoS sur cette couche. Les secteurs de la banque, des assurances et des services financiers (BFSI), des jeux/jeux de hasard et des télécommunications arrivent loin derrière.

Principaux secteurs visés par des attaques DDoS sur la couche réseau

Afin de changer de perspective, nous avons là aussi normalisé le trafic hostile en fonction du trafic total destiné aux secteurs spécifiques. Nous voyons dès lors se dessiner une image différente.

Principaux secteurs visés par des attaques DDoS HTTP, répartition par région

Nous avons déjà mentionné au début de ce rapport que le secteur des services environnementaux était le plus attaqué comparativement à son propre trafic. Le fait que le secteur de la livraison de colis/fret arrive en deuxième position est intéressant du fait de sa corrélation opportune avec les achats en ligne du Black Friday et de la saison des fêtes de fin d'année. Les cadeaux et les biens achetés au cours de ces périodes doivent en effet atteindre leur destination d'une manière ou d'une autre et il semble que les acteurs malveillants aient essayé d'interférer dans ce processus. Sur une note similaire, les attaques DDoS visant les commerçants ont augmenté de 23 % par rapport à l'année précédente.

Principaux secteurs visés par des attaques DDoS HTTP par rapport au trafic de chaque secteur

Concernant les attaques sur la couche réseau, le secteur des relations publiques et de la communication s'est révélé le plus touché : 36 % de son trafic était malveillant. Cette position est également très intéressante en raison de sa temporalité. Les entreprises de relations publiques et de communication sont généralement liées à la gestion de la perception publique et de la communication. Toute perturbation de leurs opérations peut avoir des effets immédiats et considérables en termes de réputation, un aspect qui devient d'autant plus critique au quatrième trimestre, c'est-à-dire lors de la période des fêtes. Ce trimestre voit souvent une activité accrue en matière de RP et de communication en raison des fêtes, des bilans de fin d'année et des préparatifs pour la nouvelle année. Il s'agit donc d'une période essentielle sur le plan opérationnel, que certains aimeraient perturber.

Principaux secteurs visés par des attaques DDoS sur la couche réseau par rapport au trafic de chaque secteur

Les régions et les pays les plus attaqués

Singapour a été la cible principale des attaques DDoS HTTP au quatrième trimestre. Les sites web singapouriens ont ainsi été visés par 317 milliards de requêtes HTTP, soit 4 % du trafic DDoS mondial. Les États-Unis suivaient de près, en seconde position, et le Canada arrivait en troisième. Taïwan s'est placé à la quatrième place des régions les plus attaquées, en raison des élections générales à venir et de tensions signalées avec la Chine. Les attaques à l'encontre de Taïwan véhiculées au sein du trafic du quatrième trimestre ont augmenté de 847 % par rapport à l'année précédente et de 2 858 % par rapport au trimestre précédent. Cette augmentation ne se limite pas aux seules valeurs absolues. Une fois normalisé, nous constatons que le pourcentage de trafic DDoS HTTP visant Taïwan par rapport à l'ensemble du trafic destiné au pays a également connu une hausse considérable. Il a ainsi augmenté de 624 % par rapport au trimestre précédent et de 3 370 % par rapport à l'année précédente.

Principaux pays visés par des attaques DDoS HTTP

Si la Chine s'est placée à la neuvième place des pays les plus visés par les attaques DDoS HTTP, il s'agit du pays le plus touché par les attaques sur la couche réseau. 45 % de l'ensemble du trafic DDoS sur la couche réseau atténué par Cloudflare à travers le monde était ainsi destiné à la Chine. Les pays restants se trouvaient si loin derrière que leur part est quasiment négligeable.

Principaux pays visés par les attaques DDoS sur la couche réseau

Top targeted countries by Network-layer DDoS attacks

Lorsque nous normalisons les données, l'Irak, les territoires palestiniens et le Maroc prennent la tête en tant que régions les plus attaquées comparativement à leur trafic entrant total. Le point intéressant est que Singapour arrive en quatrième position. Singapour a donc non seulement fait face à la plus grande quantité de trafic DDoS HTTP, mais ce trafic constituait également une part significative du trafic total destiné à la ville. À l'inverse, les États-Unis étaient le deuxième pays le plus attaqué par volume (comme le montre le graphique des attaques sur la couche applicative ci-dessus), mais arrivaient en quinzième position par rapport au trafic total destiné aux États-Unis.

Principaux pays visés par des attaques DDoS HTTP par rapport au trafic de chaque pays

Top targeted countries by HTTP DDoS attacks with respect to each country’s traffic

De manière similaire à Singapour, mais potentiellement plus spectaculaire, la Chine est à la fois le pays le plus visé par le trafic DDoS sur la couche réseau, mais également par rapport à l'ensemble du trafic destiné à la Chine. Près de 86 % de ce dernier a été atténué par Cloudflare, car il faisait partie d'attaques DDoS sur la couche réseau. Les territoires palestiniens, le Brésil, la Norvège et, à nouveau, Singapour suivaient, avec de forts pourcentages de trafic hostile.

Principaux pays visés par des attaques DDoS sur la couche réseau comparativement au trafic de chaque pays

Top targeted countries by Network-layer DDoS attacks with respect to each country’s traffic

Vecteurs d'attaques et attributs

À l'échelle de Cloudflare, la majeure partie des attaques DDoS demeurent de faible ampleur et de courte durée. Toutefois, sans protection automatisée et appropriée en interne (in-line), les sites web et les réseaux non protégés peuvent toujours souffrir de perturbations dues à ces attaques. Ce constat souligne ainsi la nécessité pour les entreprises de se montrer proactives dans l'adoption d'une robuste stratégie de sécurité.

Au cours du quatrième trimestre 2023, 91 % des attaques ont pris fin dans les 10 minutes, 97 % totalisaient moins de 500 mégabits par seconde (Mb/s) et 88 % n'ont jamais dépassé les 50 000 paquets par seconde (p/s).

Deux attaques DDoS visant la couche réseau sur cent duraient plus d'une heure et dépassaient le gigabit par seconde (Gb/s). De même, une attaque sur cent dépassait le million de paquets par seconde. En revanche, le nombre d'attaques DDoS sur la couche réseau dépassant les 100 millions de paquets par seconde a augmenté de 15 % par rapport au trimestre précédent.

Les statistiques sur les attaques DDoS que vous devez connaître

Une de ces attaques de grande envergure était une attaque lancée par un botnet Mirai dont le pic a atteint les 160 millions de paquets par seconde. Le taux de paquets par seconde n'était cependant pas le plus élevé que nous ayons observé. Le plus haut taux que nous ayons jamais observé s'élevait à 754 millions de paquets par seconde. Cette attaque s'est produite en 2020 et nous n'avons rien observé de plus volumineux depuis.

Cette attaque plus récente, toutefois, était unique de par son débit de bits par seconde. C'est d'ailleurs l'attaque DDoS sur la couche réseau la plus volumineuse que nous ayons observée au quatrième trimestre. Elle culminait à 1,9 térabit par seconde et provenait d'un botnet Mirai. Il s'agissait d'une attaque multivectorielle, qui combinait donc plusieurs méthodes d'attaque. Certaines de ces méthodes incluaient le flood de fragments UDP, le flood UDP/Echo, le flood SYN, le flood ACK Flood et les marqueurs TCP mal formés.

L'attaque ciblait un célèbre fournisseur de cloud européen et provenait de 18 000 adresses IP uniques supposément usurpées. Elle a été automatiquement détectée et atténuée par les défenses de Cloudflare.

Cet exemple montre bien que même les attaques les plus volumineuses peuvent se terminer très rapidement. Les attaques de grande ampleur que nous avons précédemment observées ont pris fin en quelques secondes. Ce fait souligne ainsi la nécessité de disposer d'un système de défense automatisé en interne (in-line). Si elles s'avèrent toujours rares, les attaques atteignant le térabit deviennent de plus en plus fréquentes.

L'attaque DDoS Mirai de 1,9 térabit par seconde

1.9 Terabit per second Mirai DDoS attacks

L'utilisation de variantes du botnet Mirai est toujours très courante. Au quatrième trimestre, près de 3 % de l'ensemble des attaques sont issues de Mirai. De toutes les méthodes d'attaque, toutefois, les attaques basées sur le DNS demeurent les favorites. Conjointement, les attaques par flood DNS et par amplification DNS totalisent près de 53 % de l'ensemble des attaques survenues au quatrième trimestre. Les attaques SYN Floods suivent en deuxième position et les UDP Floods se placent à la troisième. Nous parlerons des deux types d'attaques DNS ci-après. Si vous souhaitez en savoir plus sur les floods UDP et SYN, cliquez sur les hyperliens pour vous rendre dans notre centre d'apprentissage.

Attaques par flood et par amplification DNS

Les attaques par flood DNS et par amplification DNS exploitent toutes les deux le DNS (Domain Name System, système de noms de domaine), mais fonctionnent différemment. Le DNS agit un peu comme l'annuaire d'Internet, en traduisant les noms de domaine conviviaux, comme « www.cloudfare.com », en adresses IP numériques utilisées par les ordinateurs pour s'identifier les uns les autres sur le réseau.

En termes simples, les attaques DDoS basées sur le DNS s'appuient sur la méthode que les ordinateurs et les serveurs utilisent pour s'identifier entre eux afin de provoquer une défaillance ou une perturbation, sans réellement « abattre » le serveur. Pour prendre un exemple, un serveur pourrait fort bien être opérationnel alors que le serveur DNS serait hors ligne. Les clients ne seraient donc pas en mesure de s'y connecter et considéreront l'expérience comme une défaillance.

Une attaque par flood DNS bombarde un serveur DNS sous un nombre impressionnant de requêtes DNS. L'opération s'effectue généralement à l'aide d'un botnet DDoS. L'ampleur du volume de requêtes peut submerger le serveur DNS, afin de lui compliquer (voire la rendre impossible) la tâche de répondre aux requêtes légitimes. L'attaque peut entraîner des perturbations, des retards, voire une défaillance des services susmentionnés pour les utilisateurs qui tentent d'accéder aux sites web ou aux services reposant sur le serveur DNS ciblé.

De l'autre côté du spectre, l'attaque par amplification DNS implique l'envoi d'une requête de petite taille (comportant une adresse IP usurpée, l'adresse de la victime) à un serveur DNS. L'astuce ici consiste à faire en sorte que la réponse DNS soit considérablement plus volumineuse que la requête. Le serveur envoie ensuite cette réponse de fort volume à l'adresse IP de la victime. En exploitant des résolveurs DNS ouverts, l'acteur malveillant peut amplifier le volume de trafic envoyé à la victime, afin d'entraîner des effets d'autant plus considérables. Ce type d'attaque ne perturbe pas uniquement la victime, il peut également encombrer des réseaux entiers.

Dans les deux cas, les attaques exploitent le rôle essentiel du DNS dans les opérations réseau. Les stratégies d'atténuation mises en œuvre impliquent généralement la sécurisation des serveurs DNS contre l'utilisation abusive, la mise en place d'un contrôle du volume de requêtes pour gérer le trafic et le filtrage du trafic DNS afin d'identifier et de bloquer les requêtes malveillantes.

Principaux vecteurs d’attaque

Top attack vectors

Parmi les menaces émergentes que nous suivons, nous avons enregistré une augmentation de 1 164 % des attaques par flood ACK-RST, une hausse de 515 % des attaques par flood CLDAP et un accroissement de 243 % des attaques par flood SPSS, le tout par rapport au trimestre précédent. Intéressons-nous plus en détail à certaines de ces attaques afin de découvrir de quelle manière elles sont conçues pour provoquer des perturbations.

Principaux vecteurs d'attaque émergents

Top emerging attack vectors

Flood ACK-RST

Une attaque par flood ACK-RST exploite le protocole TCP (Transmission Control Protocol, protocole de contrôle des transmissions) en envoyant de nombreux paquets ACK et RST à la victime. Cette opération submerge la victime et l'empêche de traiter ces paquets et d'y répondre, afin de conduire une perturbation de service. Cette attaque est efficace, car chaque paquet ACK ou RST provoque une réponse du système de la victime et consomme ainsi ses ressources. Les floods ACK-RST se révèlent bien souvent difficiles à filtrer, car ils imitent le trafic légitime et compliquent ainsi la détection et l'atténuation.

Flood CLDAP

Le protocole CLDAP (Connectionless Lightweight Directory Access Protocol, protocole d'accès aux répertoires léger et sans connexion) est une variante du LDAP (Lightweight Directory Access Protocol). Il sert à interroger et à modifier les services de répertoire exécutés sur des réseaux IP. Comme le CLDAP est sans connexion et utilise le protocole UDP plutôt que le TCP, il est plus rapide, mais moins fiable. Comme il s'appuie sur l'UDP, il ne comporte aucune exigence de négociation préalable. Les acteurs malveillants peuvent donc usurper l'adresse IP et l'exploiter comme vecteur de réflexion. Ces attaques envoient des requêtes de petite taille accompagnées d'une adresse IP source usurpée (l'adresse IP de la victime) dans le but d'amener les serveurs à renvoyer des réponses de grand volume à la victime, afin de la submerger. Les stratégies d'atténuation à mettre en œuvre impliquent le filtrage et la surveillance du trafic CLDAP inhabituel.

Flood SPSS

Les attaques flood abusant du protocole SPSS (Source Port Service Sweep) constituent une méthode d'attaque réseau impliquant l'envoi de paquets à partir d'un grand nombre de ports sources usurpés ou aléatoires vers divers ports de destination du système ou du réseau ciblé. L'objectif de cette attaque est double. En premier lieu, submerger les capacités de traitement de la victime, afin de provoquer des perturbations de service ou une défaillance du réseau, et en second lieu, rechercher les ports ouverts et identifier les services vulnérables. Le flood s'effectue en envoyant un volume élevé de paquets afin de saturer les ressources réseau de la victime et d'épuiser les capacités de ses pare-feu et de ses systèmes de détection des intrusions. Pour atténuer ce type d'attaque, il est essentiel de faire appel à des fonctionnalités de détection automatisées en interne (in-line).

Cloudflare est là pour vous aider, peu importe le type, la taille ou la durée de l'attaque

Cloudflare s'est donné pour mission de contribuer à bâtir un meilleur Internet. Or, nous considérons qu'un meilleur Internet se doit d'être sécurisé, performant et accessible à tous. Peu importe le type, la taille, la durée ou la motivation derrière l'attaque, les défenses de Cloudflare demeurent solides. Depuis que nous avons ouvert la voie à la protection illimitée contre les attaques DDoS en 2017, nous nous sommes engagés (et avons respecté cet engagement) à rendre les services de protection DDoS de niveau professionnel gratuits pour toutes les entreprises, le tout sans compromettre les performances, bien entendu. Nous parvenons à atteindre cet objectif grâce à notre technologie unique et à notre robuste architecture réseau.

Il demeure important de se souvenir que la sécurité constitue un processus, pas un simple produit ni une fonction activable en cliquant sur un bouton. En plus de nos systèmes automatisés de protection contre les attaques DDoS, nous proposons des ensembles complets de fonctionnalités comme un pare-feu, un système de détection des bots, une fonctionnalité de protection des API et un service de mise en cache pour renforcer vos défenses. Notre approche multicouche optimise votre stratégie de sécurité et minimise les impacts potentiels. Nous avons en outre mis sur pied une liste de recommandations pour vous aider à optimiser vos défenses contre les attaques DDoS. Vous pouvez également suivre nos assistants pratiques pour sécuriser vos applications et prévenir les attaques DDoS. De même, si vous souhaitez profiter de notre protection facile à utiliser (et la meilleure de sa catégorie) contre les attaques DDoS et les autres attaques sévissant sur Internet, vous pouvez vous inscrire (gratuitement !) sur cloudflare.com. Enfin, si vous êtes sous le feu d'une attaque, inscrivez-vous ou appelez notre assistance téléphonique d'urgence en cas de cyberattaque au numéro affiché ici pour bénéficier d'une réponse rapide.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
DDoSAttacks (FR)Cloudflare Radar (FR)DDoS Reports (FR)InsightsTrends (FR)Black FridayDNS (FR)China (FR)Israel

Suivre sur X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Publications associées

20 novembre 2024 à 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

06 novembre 2024 à 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....