Fournisseur de services américain survit à la plus grande DDoS enregistré dans l’histoire

Un fournisseur de services américain survit au plus grand nombre de DDoS enregistrés de l'histoireDépartement des ressources en eau de Californie

Une nouvelle technique qui abuse des serveurs mal sécurisés alimente attaques de déni de service sans précédent, avec notes exigeant que les cibles paient des rançons lourdes pour l’inondation débilitante du trafic indésirable pour arrêter.

Lectures complémentaires

Les DDoS à l’état sauvage utilisent un nouveau moyen pour atteindre des tailles impensablesAsArs rapporté la semaine dernière, memcached, un système de mise en cache de bases de données pour accélérer les sites Web et les réseaux, permet aux vandales de DDoS d’amplifier leur attaques par un facteur sans précédent de 51 000. Cela signifie qu’un seul ordinateur à la maison avec une capacité de téléchargement de 100 mégabits par seconde à partir de son fournisseur de services Internet est capable de bombarder une cible avec une fois inimaginable 5 terabits par seconde de trafic, du moins en théorie.

Suite à la découverte que des vandales DDoS à l’état sauvage ont été abusant de serveurs ouverts, les chercheurs ont prédit la semaine dernière une nouvelle série d’attaques record. Deux jours plus tard, atténuation des attaques DDoS service Akamai / Prolexic a signalé l’attaque de 1,3 To / s contre Github, légèrement en tête des records précédents établis dans 2016

Lundi, des chercheurs d’un service distinct de réduction des attaques DDoS, Arbor Networks, a rapporté un DDoS de 1,7 To / s qui repose également sur le méthode d’amplification memcached récemment documentée. L’attaque ciblé un client anonyme d’un fournisseur de services basé aux États-Unis. Bien qu’il s’agisse du plus grand nombre de DDoS recensés, le client et Le fournisseur de services Internet n’aurait pas cédé.

“C’est un témoignage des capacités de défense que ce service fournisseur avait en place pour se défendre contre une attaque de cette nature pour cette raison, aucune panne n’a été signalée “, écrit Carlos Morales, vice-président de l’ingénierie des ventes mondiales et opérations à Arbor.

Payer, ou bien

Les chercheurs ont également signalé que bon nombre des attaques paralysantes sont accompagnés d’une demande de rançon, probablement afin que l’inondation de données s’arrête. Cyril Vallicari, an R&Dingénieur à la société de sécurité HTTPCS, a déclaré serveurs ouverts memcached inclure un cache qui accepte les entrées de quiconque. Certains les attaquants qui abusent des serveurs pour fournir des DDoS sont comprenant les mots “Pay 50 XMR” ainsi que l’adresse d’un destinataire portefeuille. Comme le montre la capture d’écran ci-dessous, le message est répété à plusieurs reprises dans la charge utile livrée à des cibles dans un essayer d’épuiser la bande passante du réseau dont ils disposent. À prix actuels de la monnaie numérique appelée Monero, 50 XMR est évaluée à environ 18 415 $. Une porte-parole d’Akamai a déclaré que le 1,3 To / s attaque qui a ciblé Github la semaine dernière inclus le même ou un demande de rançon similaire.

AgrandirCyril Vallicari, HTTPCS

Alors que la plupart des attaques activées par memcached sont à l’état sauvage inclure des réponses qui sont environ 10 000 fois plus grandes que leur volume original, John Graham-Cumming, CTO de la diffusion de contenu réseau Cloudflare, a déclaré à Ars qu’il avait vu une attaque avec un facteur d’amplification de 51 000. Bien sûr, les volumes réels livrés dépend de la bande passante disponible pour les serveurs maltraités, ce qui peut limiter la taille des fichiers DDoS qui reposent sur cette technique.

Il y a plusieurs bonnes raisons que les cibles ne doivent pas payer la une rançon. Parmi les principales, jusqu’à présent: toutes les demandes signalées utilisent la même adresse de portefeuille. Cela compliquerait la tâche des DDoSers savoir quelles cibles ont payé et quelles cibles ont refusé. Avec pas de mécanisme de suivi facile, il est peu probable que les attaquants aient un moyen automatisé pour arrêter les attaques contre les cibles qui paient. À part que le fait de payer des agresseurs ne fait qu’encourager davantage les comportements illégaux dans le pays. futur. Payer pour les services d’atténuation DDoS est plus logique pour cibles.

Faire fi des meilleures pratiques

La nouvelle technique d’amplification est rendue possible par le floutage d’au moins deux bonnes pratiques. Le premier est le service réseau fournisseurs qui autorisent toujours les paquets UDP falsifiés à traverser leur réseaux. Le deuxième coupable est les serveurs memcached qui sont exposés a l’L’Internet. Les attaques fonctionnent en envoyant une requête à un serveur ouvert. serveur memcached. Les requêtes sont manipulées pour les faire apparaître comme si elles provenaient de la cible visée par le DDoS. Dernier semaine, les chercheurs ont estimé qu’il y avait environ 93 000 membres serveurs qui ont mal accepté les entrées de quiconque sur le Internet.

Si les fournisseurs partout déployaient des mesures empêchant la falsification Le trafic UDP sur leurs réseaux et fermer toutes les sources publiques disponibles serveurs memcached qu’ils ont hébergés, la nouvelle technique d’amplification ne serait plus disponible. Le nouveau DDoS record-record signalé Lundi démontre qu’un nombre important de fournisseurs ont encore d’adopter ces mesures de bon sens.

Poster mis à jour pour corriger le calcul de la bande passante dans la seconde paragraphe.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: