Vidéo: Comprendre l'attaque DDOS en 4 minutes (Novembre 2024)
Le printemps dernier, Spamhaus, surveillant de spam, a été victime d'une attaque par déni de service distribué (DDoS) qui a mis ses serveurs hors ligne et a provoqué des perturbations Internet temporaires au niveau régional. CloudFlare, une entreprise de sécurité et de performances Web, a aidé Spamhaus à récupérer. Lors de la conférence Black Hat à Las Vegas, Matthew Prince, cofondateur et PDG de CloudFlare, a présenté un compte rendu de ce qu’il avait appris.
"La particularité de Spamhaus est qu’il s’agit d’une organisation très ouverte", a déclaré Prince. "La plupart de nos clients n'aiment pas que nous parlions d'attaque, mais les gars de Spamhaus ont dit:" Racontez l'histoire."
Prince a passé en revue les étapes de l'attaque, qui ont subi quelques jours de DDoS à basse altitude sans causer de problèmes, mais qui ont finalement atteint la vitesse sans précédent de 309 Gbps (gigabits par seconde). Alors que les médias ont rapporté que l'attaque venait d'un bunker aux Pays-Bas, Prince a souligné que ce n'était pas le cerveau même. "Hey, il a parlé au New York Times!" plaisanta Prince. Il se trouve que le cerveau derrière l'attaque appartenait à un garçon londonien de 15 ans, actuellement en détention.
De quelles ressources cet enfant avait-il besoin? "Vous n'avez pas besoin d'un botnet", dit Prince, "et vous n'avez pas besoin de beaucoup de gens, comme Anonymous." Il a poursuivi en affirmant que l'attaque n'avait pas besoin de beaucoup d'expertise technique. "C'est comme un homme des cavernes qui bat ton réseau." Il a ensuite affiché une ligne très simple d'instructions réseau qui montrerait le type d'attaque utilisé.
Tout ce dont vous avez besoin pour ce type d’attaque est une liste de résolveurs DNS ouverts et un accès à certains serveurs autorisant l’usurpation d’identité IP source. "Ce sont les ingrédients", a déclaré le prince. "Si vous avez ces deux choses, même un petit nombre, vous pouvez lancer de grandes attaques. Et rien n'a changé depuis l'attaque de Spamhaus."
Prince a exhorté les participants à nettoyer leurs propres réseaux, en s'assurant qu'ils ne font pas partie du problème. "Vérifiez votre propre espace IP sur OpenResolver.com", a déclaré Prince, "et corrigez tous les périphériques mal configurés. Vous serez peut-être surpris de constater que vous avez un problème." "Un simple drapeau dans vos routeurs périphériques empêchera l'usurpation d'adresse IP", a-t-il poursuivi. "Il n'y a aucune excuse pour ne pas faire ça." Il a ensuite formulé un certain nombre de recommandations plus techniques concernant l'hygiène des réseaux.
Hélas, Internet dans son ensemble ne prend pas ce conseil. Depuis l'attaque de Spamhaus, le nombre de résolveurs DNS ouverts connus est passé de 21 millions à 28 millions. Prince a souligné un changement très simple qui aurait pu multiplier le trafic lors de l'attaque de Spamhaus par dix, voire par 100. Espérons que les bons joueurs pourront rester en tête du match.
Suivez SecurityWatch pour en savoir plus sur Black Hat 2013.
