🍲 🧝🏾 👩🏻‍🤝‍👨🏼 Type de déni de service: progression du DDoS ⏩ 👴🏼 🐡

Bon vieux DDoS ... Chaque année, nous analysons l'évolution de ce segment de la cybercriminalité et, selon les résultats du passé et du début de cette année, nous constatons que le nombre de ces attaques a augmenté de plus de 1,5 fois. Pendant ce temps, les attaquants ont considérablement augmenté la puissance des attaques et changé de tactique. Et d'ailleurs, le DDoS est devenu encore plus accessible: à en juger par la forte augmentation du nombre d'attaques contre les ressources pédagogiques et divers "journaux électroniques", les pirates scolaires découvrent de plus en plus le monde du DDoS. Dans cet article, nous parlerons des attaques DDoS que nous avons enregistrées en 2019 et au début de 2020, et comment les DDoS ont récemment changé.

Rapide et puissant

Les pirates se sont accélérés. Les attaques de faible puissance qui durent plusieurs jours ne les intéressent plus. Par exemple, l'attaque la plus longue de la période considérée a duré environ un jour (un an plus tôt, les attaquants ont «torturé» le serveur pendant 11 jours et 16 heures).

Bien sûr, les attaquants n'ont pas relâché leur emprise - contrairement à la durée, la puissance des attaques DDoS a augmenté. L'attaque la plus puissante de la dernière période a été réalisée avec une intensité de 405 Gbit / s. Ceci, bien sûr, est légèrement inférieur à l'attaque record du modèle 2018 (450 Gbit / s) pour le réseau Rostelecom, mais en moyenne, les indicateurs de puissance DDoS ont encore augmenté. Le changement de tactique des hackers peut s'expliquer par le fait que pendant l'attaque, les botnets, qui sont un atout précieux, peuvent être révélés par les défenseurs. Après neutralisation de l'attaque, les données d'adresse du botnet deviennent disponibles pour d'autres opérateurs dans le cadre de l'échange d'informations, et le botnet n'est plus adapté. Si vous attaquez rapidement la victime avec une puissante vague de demandes, le service anti-DDoS n'a tout simplement pas le temps de remplir la liste noire.

Technologies DDoS - Arsenal Nouveau

Pour effectuer des sprints avec des explosions de trafic parasite, vous avez besoin d'une bonne base technique. Et récemment, les attaquants l'ont bien pompé. Nous avons attiré l'attention sur l'émergence de nouveaux amplificateurs puissants, qui ont commencé à être activement utilisés dans les attaques DDoS.

Premièrement, il s'agit du protocole Apple Remote Desktop basé sur UDP (port UDP 3283), dont le facteur d'amplification est de 35,5: 1 (données Netscout). Apple Remote Desktop est une application d'administration à distance de la station de travail macOS. ARMS (Apple's Remote Management Service) accède à un port UDP qui est toujours ouvert sur les postes de travail exécutant macOS lorsque le mode de gestion à distance est activé, même s'il entre en conflit avec les paramètres de sécurité du pare-feu. Aujourd'hui, plus de 16 000 ordinateurs exécutant macOS avec un port UDP ouvert sont enregistrés dans le réseau mondial.

En outre, les cybercriminels utilisent activement le protocole de découverte de périphériques WS-Discovery (Web Services Dynamic Discovery) utilisé dans les solutions IoT. Son facteur d'amplification est de 500: 1. Comme Apple Remote Desktop, WS-Discovery transmet des paquets à l'aide du protocole basé sur UDP, qui permet aux pirates d'utiliser l'usurpation de paquets (usurpation d'adresse IP). BinaryEdge comptait environ 630 mille appareils avec cette vulnérabilité sur Internet (données de septembre 2019). Profitez-en - je ne veux pas!

N'oubliez pas l'un des principaux outils pour les DDoS - les botnets des appareils IoT. L'attaque intelligente la plus puissante que nous ayons enregistrée a eu lieu en 2019: 178 Mpps ont frappé l'une des sociétés de paris. Les attaquants ont utilisé un botnet de 8 000 appareils réels: routeurs domestiques, caméras et autres objets connectés, ainsi que des téléphones portables. Je ne voudrais pas ~~arnaquer la~~ pression, mais il y a un sentiment clair que la 5G et IPv6 nous apporteront de nouveaux "records".

Types d'attaque les plus populaires

En général, la méthode d'attaque DDoS la plus populaire est toujours l'inondation UDP - environ 32% du volume total des attaques. Aux deuxième et troisième places - SYN flood (27,4%) et attaques avec des paquets fragmentés (14,2%). Non loin des leaders se trouvent les attaques d'amplification DNS (13,2%).

Les attaquants expérimentent également les protocoles actuellement rarement utilisés - 16 (CHAOS) et 111 (IPX sur IP). Cependant, de telles attaques sont plus probablement une exception: ces protocoles ne sont pas utilisés par les clients dans la vie réelle et peuvent être facilement détectés et abandonnés lorsque les attaques sont supprimées.

Parmi les attaques inhabituelles de l'année dernière, on peut citer le soi-disant «attentat à la moquette». Ils se caractérisent par la destruction de cibles dans l'espace d'adressage de la victime et la recherche des plus vulnérables d'entre eux. Cela complique la détection et la lutte contre de telles attaques dans le modèle de protection par IP, lorsque seules les adresses IP individuelles sont protégées, et non l'ensemble de l'infrastructure Internet. Les «bombardements de tapis» les plus massifs enregistrés par nous comprenaient près de 3 000 cibles - chaque adresse de tous les réseaux d'un client a été essayée.

Récemment, les attaquants ont commencé à combiner différents types d'attaques. Un exemple d'un tel cocktail DDoS est la réflexion SYN + ACK. Dans ce type d'attaque, des ressources publiques tierces sont utilisées, auxquelles un paquet SYN est envoyé avec une fausse adresse de victime comme source. Les serveurs tiers répondent avec un paquet SYN + ACK à une victime dont la pile TCP souffre du traitement des paquets arrivant en dehors de toute session. Nous avons observé une situation dans laquelle les deux parties - à la fois la victime et les ressources tierces utilisées pour réfléchir - étaient nos clients. Pour les premiers, cela ressemblait à une réflexion SYN + ACK, pour les seconds à une inondation SYN.

Nouvelles et anciennes victimes

Deux premiers mots sur notre méthodologie. Étant donné que cette étude est basée sur des données sur les attaques contre les clients du service Rostelecom Anti-DDoS, lors de la détermination des secteurs les plus attaqués, nous formons deux tranches analytiques:

répartition simple du nombre total d'attaques enregistrées par industrie,
augmentation moyenne du nombre d'attaques par client de l'industrie. Cet indicateur élimine l'erreur possible associée à une augmentation du nombre de clients d'une industrie particulière (et, par conséquent, à une augmentation du nombre d'attaques enregistrées).

Alors qu'avons-nous vu.

Par industrie

Comme mentionné ci-dessus, le nombre d'attaques DDoS augmente. Même la fermeture d'un certain nombre de facteurs de stress importants, et en fait, les services d'organisation des DDoS (Quantum Stresser, ExoStress.in, QuezStresser.com, etc.), n'affectent pas cette dynamique. DDoS est toujours bon marché et assez facile. Le pic des attaques s'est produit en octobre 2019, lorsque les boutiques en ligne se préparaient pour le Black Friday. Les DDoS sont alors devenus la même tradition que les «remises jusqu'à 90%». Dans le même temps, les grands acteurs du marché sont attaqués à l'aide d'attaques ciblées multivectorielles - c'est sûr.

L'industrie du jeu reste le leader du DDoS: il représente 34% du nombre total d'attaques (contre 64% en 2018). Cela ne signifie pas que les pirates ont perdu tout intérêt pour le jeu - le nombre d'attaques sur le segment n'a pas diminué, mais en raison de l'apparition de nouvelles victimes, la part de cette industrie a «érodé».

Néanmoins, l'eSport dans son ensemble reste une friandise. Les protocoles de jeu utilisent UDP comme moyen de transport. Cela permet non seulement de remplacer les adresses des expéditeurs, mais rend également difficile le suivi des sessions. Au cours de la période considérée, nous avons observé deux principaux types d'attaques DDoS au niveau de l'application sur les serveurs de jeux. Le premier atteint leur inaccessibilité en envoyant un grand nombre de packages qui, pour un service de protection tiers, ressemblent à des packages légitimes. La protection contre de telles attaques repose sur le profilage du trafic légitime et des mesures telles que l'expression régulière et la réponse aux défis.

Le deuxième type est associé à l'exploitation de vulnérabilités identifiées dans les protocoles et les plateformes de jeu. Dans ce cas, la protection proactive nécessite une classe d'appareils différente: le pare-feu d'application de jeu. Les grandes sociétés d'hébergement de jeux et les fabricants tentent de protéger les serveurs en intégrant divers contrôles dans leurs programmes clients et en les associant à des systèmes de protection développés de manière indépendante.

Les entreprises de télécommunications occupent le deuxième rang en termes de popularité, leur part dans le volume total d'attaques a considérablement augmenté: de 10% à 31%. En règle générale, il s'agit de petits FAI régionaux, de divers centres d'hébergement et de données qui n'ont pas les ressources pour repousser les attaques puissantes, de sorte qu'ils deviennent une victime facile pour les pirates.

En plus des télécommunications, les attaquants ont attiré l'attention sur les établissements d'enseignement et le secteur public. Auparavant, leur part dans le volume total des attaques DDoS était respectivement de 1% et 2%, mais sur l'année, elle est passée à 5% pour chacun des segments. Nous attribuons cela à la numérisation et au lancement de nos propres ressources Internet, dont dépendent de plus en plus les activités de ces organisations, en particulier pendant la période d'auto-isolement.

Dans d'autres secteurs sans changements importants:

Attaques par client

L'augmentation moyenne du nombre d'attaques par client s'est considérablement accélérée. Si en 2018 il était de 21%, alors selon les résultats de 2019 et début 2020, il atteignait 58%. La plus forte augmentation du nombre d'attaques par client a été enregistrée par les établissements d'enseignement - 153%. Ce sont des journaux électroniques, des sites avec des devoirs et des quiz - tout ce qui empêche les étudiants de profiter de la vie. Il est possible que les initiateurs de telles attaques soient souvent ~~les pirates de la mère,~~ les élèves eux-mêmes, ce qui prouve une fois de plus la simplicité d’organisation des DDoS sur des ressources aussi vulnérables que les sites scolaires, par exemple.

La croissance des attaques sur un client:

Que faire

Le nombre d'attaques DDoS augmentera, de nouveaux amplificateurs, types d'attaques et naturellement de nouvelles cibles pour les attaquants apparaîtront. Mais, comme le dit la troisième loi de Newton,
il y a une opposition à chaque action.

Les méthodes de prévention des DDoS sont connues - il y aurait un désir de résoudre enfin ce problème. Afin de ne pas produire de botnets IoT: éliminez en temps opportun les vulnérabilités sur tous vos appareils, contrôlez les ports et n'utilisez pas IPv6.

Pour configurer correctement la protection dans les conditions de vecteurs d'attaque en évolution rapide: utilisez des options pré-préparées pour contrer des types spécifiques d'attaques connues et vérifiez régulièrement votre infrastructure.

En général, on peut voir que les problèmes actuels dans le domaine des DDoS sont en quelque sorte interconnectés. Par conséquent, il est nécessaire de protéger les applications et l'infrastructure, en particulier le segment critique de l'entreprise, de manière globale, à différentes étapes du filtrage.

Type de déni de service: progression du DDoS