Arbor Networks Inc., société leader dans la fourniture de solutions de protection contre les attaques DDoS et les menaces avancées pour les réseaux d'entreprises et d'opérateurs, publie les statistiques mondiales relatives aux attaques DDoS pour le deuxième trimestre 2015, faisant apparaître une forte progression de la taille moyenne de ces attaques, mesurée tant en bits par seconde qu'en paquets par seconde.
La plus forte attaque au deuxième trimestre, de type « UDP Flood » a atteint 196 Gbit/s, une ampleur importante mais qui n'est plus rare. Le plus préoccupant pour les réseaux d'entreprise est l'augmentation de la taille moyenne des attaques. Au deuxième trimestre, 21 % d'entre elles ont dépassé 1 Gbit/s, la progression la plus marquée étant enregistrée dans la fourchette 2-10 Gbit/s. Cependant, le mois de juin a aussi été le théâtre d'une recrudescence significative des attaques entre 50 et 100 Gbit/s, principalement de type « SYN Flood » visant des cibles aux Etats-Unis et au Canada.
« Si les attaques d'une ampleur extrême monopolisent les gros titres, c'est la progression de la taille moyenne des attaques DDoS qui inquiète les entreprises à travers le monde », commente Darren Anstee, directeur des technologies de sécurité pour Arbor Networks. « Les entreprises doivent définir clairement leur risque en matière de DDoS. Face à des attaques moyennes capables de saturer l'accès Internet de bon nombre d'entreprises, il est essentiel de saisir les risques et les coûts d'une attaque et de mettre en place les plans, services et solutions appropriés. »
ATLAS® (Active Threat Level Analysis System)
Les données d'Arbor Networks sont réunies par son observatoire ATLAS, qui s'appuie sur une collaboration avec plus de 330 opérateurs partageant des données anonymes de trafic avec la société afin d'offrir une vue globale complète du trafic et des menaces. ATLAS collecte des statistiques représentant 120 Tbit/s de trafic Internet et fournit les données de Digital Attack Map, un site créé en coopération avec Google Ideas dans le but de cartographier les attaques au niveau mondial.
Attaques d'amplification par réflexion
L'amplification par réflexion est une technique qui permet aux auteurs d'une attaque à la fois d'amplifier le volume du trafic généré et d'en masquer les sources. Cette technique exploite deux failles : d'une part, de nombreux opérateurs n'ont toujours pas mis en place de filtres à la périphérie de leur réseau pour bloquer le trafic dont l'adresse IP source est falsifiée (spoofing) ; d'autre part, il existe sur Internet quantité d'équipements mal configurés et mal protégés fournissant des services UDP qui offrent un facteur d'amplification important : pour une requête qui leur est envoyée, ils renvoient beaucoup de « réponses ». La majorité des attaques volumétriques de très grande ampleur emploient une technique d'amplification par réflexion reposant sur les protocoles NTP (Network Time Protocol), SSDP (Simple Service Discovery Protocol) et des serveurs DNS, de nombreux assauts significatifs ayant été détectés partout dans le monde.
• Certains signes laissent supposer un léger recul des attaques d'amplification par réflexion exploitant SSDP, puisque 84 000 ont été détectées au deuxième trimestre (soit un niveau comparable au T4 2014) contre 126 000 au premier trimestre.
• La taille moyenne des attaques d'amplification par réflexion DNS, NTP, SSDP et Chargen a augmenté pour tous ces types au deuxième trimestre 2015.
• 50 % des attaques par réflexion au deuxième trimestre ciblaient le port UDP 80 (HTTP/U)
• Les attaques par réflexion ont duré en moyenne 20 minutes au deuxième trimestre (contre 19 minutes au premier).