Vidéo: Des conseils pour mieux comprendre l'anglais (Novembre 2024)
Quel que soit l'effet sur Internet, personne ne nie que cette attaque, culminant à 300 Gbps, était la plus grande attaque DDoS jamais enregistrée. Mais qu'est-ce qu'une attaque DDoS et quelles sont les défenses disponibles?
Comment l'attaque a fonctionné
Une attaque par déni de service surcharge simplement les serveurs de la victime en les inondant de données, soit plus de données que les serveurs ne peuvent en gérer. Cela peut perturber les affaires de la victime ou mettre son site Web hors ligne. Lancer une telle attaque depuis un seul emplacement Web est inefficace, car la victime peut rapidement bloquer ce trafic. Les attaquants lancent souvent une attaque par déni de service distribué via des milliers d'ordinateurs infortunés contrôlés par un réseau de zombies.
David Gibson, vice-président de la stratégie de la société mondiale de protection des données Varonis, a expliqué le processus en termes simples. "Imaginez qu'un attaquant puisse usurper votre numéro de téléphone afin que votre numéro apparaisse sur les téléphones des autres quand l'attaquant appelle", a-t-il déclaré. "Imaginez maintenant que l'attaquant appelle un groupe de personnes et raccroche avant de répondre. Vous obtiendrez probablement un grand nombre d'appels de ces personnes… Maintenant, imaginez des milliers d'agresseurs faisant cela - vous devrez certainement changer de téléphone. nombre suffisant d’appels, tout le système téléphonique serait perturbé."
Il faut du temps et des efforts pour mettre en place un botnet ou de l'argent pour en louer un. Plutôt que de s'attaquer à ce problème, l'attaque de CyberBunker a profité du système DNS, un composant absolument essentiel d'Internet d'aujourd'hui.
CyberBunker a localisé des dizaines de milliers de serveurs DNS vulnérables à l'usurpation d'adresse IP, c'est-à-dire qu'ils envoient une requête Web et simulent l'adresse de retour. Une petite requête de la part de l'attaquant a entraîné une réponse des centaines de fois plus importante et toutes ces réponses importantes ont touché les serveurs de la victime. Pour reprendre l'exemple de Gibson, c'est comme si chacun des appels de l'attaquant avait confié votre numéro à des télévendeurs enragés.
Ce qui peut être fait?
Ne serait-il pas agréable que quelqu'un invente la technologie pour déjouer de telles attaques? En vérité, ils l'ont déjà fait, il y a treize ans. En mai 2000, le groupe de travail d'ingénierie Internet a publié le document BCP38 intitulé Best Current Practices (Meilleures pratiques actuelles). BCP38 définit le problème et décrit "une méthode simple, efficace et simple… pour interdire les attaques par déni de service qui utilisent des adresses IP falsifiées".
"80% des fournisseurs Internet ont déjà mis en œuvre les recommandations de BCP38", a noté Gibson. "Ce sont les 20% restants qui restent responsables de l’autorisation du trafic frauduleux." Gibson a expliqué: "Imaginons que si 20% des conducteurs sur la route ne respectent pas les feux de circulation, il ne serait plus sûr de conduire en toute sécurité."
Enfermer
Les problèmes de sécurité décrits ici se produisent à un niveau égal à celui de votre ordinateur personnel ou professionnel. Vous n'êtes pas celui qui peut ou devrait mettre en œuvre une solution; c'est un travail pour le service informatique. Il est important de noter que les informaticiens doivent gérer correctement la distinction entre deux types de serveurs DNS différents. Corey Nachreiner, CISSP et directeur de la stratégie de sécurité de la société de sécurité réseau WatchGuard, a expliqué.
"Un serveur DNS faisant autorité informe le reste du monde sur le domaine de votre entreprise ou de votre organisation", a déclaré Nachreiner. "Votre serveur faisant autorité devrait être disponible pour tous les internautes, mais il ne devrait répondre qu'aux questions concernant le domaine de votre entreprise." Outre le serveur DNS faisant autorité vers l'extérieur, les entreprises ont besoin d'un serveur DNS récursif vers l'intérieur. "Un serveur DNS récursif est conçu pour fournir des recherches de domaine à tous vos employés", a expliqué Nachreiner. "Il devrait être en mesure de répondre aux requêtes concernant tous les sites Internet, mais uniquement aux personnes de votre organisation."
Le problème est que beaucoup de serveurs DNS récursifs ne limitent pas correctement les réponses au réseau interne. Pour mener à bien une attaque par réflexion DNS, les malfaiteurs doivent simplement trouver un groupe de serveurs mal configurés. "Bien que les entreprises aient besoin de serveurs DNS récursifs pour leurs employés", a conclu Nachreiner, "elles NE DEVRAIENT PAS ouvrir ces serveurs aux demandes de quiconque sur Internet".
Rob Kraus, directeur de la recherche de l'équipe de recherche en ingénierie (SERT) de Solutionary, a déclaré que "connaître à quoi ressemble l'architecture de votre DNS de l'intérieur et de l'extérieur peut aider à identifier les lacunes dans le déploiement du DNS de votre entreprise". Il a conseillé de veiller à ce que tous les serveurs DNS soient entièrement corrigés et sécurisés selon les spécifications. Pour s'assurer que vous avez bien fait les choses, Kraus suggère que "l'utilisation d'exercices de piratage éthique aide à détecter les erreurs de configuration".
Oui, il existe d'autres moyens de lancer des attaques DDoS, mais la réflexion DNS est particulièrement efficace en raison de l'effet d'amplification, où une petite quantité de trafic provenant de l'attaquant génère une quantité énorme qui va vers la victime. Fermer cette avenue obligera au moins les cybercriminels à inventer un nouveau type d'attaque. C'est un progrès, en quelque sorte.
