Une attaque Ddos de 2,4 Tb/s ciblant l’un de ses clients européens d’Azure a été stoppée avec succès par le service cloud de Microsoft.
OVH n’est pas le seul service cloud qui en souffre. Azure, la branche cloud de Microsoft, s’est défendu auprès des utilisateurs européens contre une attaque envoyant Ddos 2,4 térabits de données par seconde (Tb/s).
Il s’agit de la plus grande attaque DDoS contre un client Azure cloud, la précédente attaque cadencée à 1 Tb/s en 2020. Selon Microsoft, « Il n’y a jamais eu d’attaque massive comme ça sur Azure », pourtant cette attaque n’a pas de cible claire.
Il existe plus de 7000 sources d’attaques. Il provient de plusieurs pays d’Asie-Pacifique (Malaisie, Vietnam, Taiwan, Japon et Chine) et des États-Unis. Le vecteur d’attaque était une attaque par réflexion du protocole UDP (User Datagram Protocol) ). Avec seulement 10 minutes d’attaque, chacune de ces salves a atteint en quelques secondes des volumes de l’ordre du térabit. Il y a eu un total de 3 pics que Microsoft a vus, le premier à 2,4 Tbps, le second à 0,55 Tbps et le troisième à 1,7 Tbps.
Les requêtes sont transformées en tempête
À noter que l’attaquant exploite toujours le fait qu’UDP est un protocole sans état dans une attaque par réflexion UDP. Ça signifie que les attaquants créent des requêtes UDP valides de l’attaquant indiquant que l’adresse IP de la cible de l’attaque est l’adresse IP source UDP. L’attaque est comme un va-et-vient dans le réseau local car le protocole Internet (IP) source du paquet de requête UDP est usurpée.
L’attaquant envoie un paquet UDP contenant une adresse IP source falsifiée à un serveur intermédiaire. Paquets de réponse UDP du serveur incité envoyés à l’adresse IP de la victime ciblée. L’attaque est augmentée par la machine intermédiaire en générant plusieurs fois plus de trafic réseau que le paquet demande afin d’amplifier le trafic d’attaque.
L’amplification de l’amplification dépend du protocole d’attaque utilisé. Des protocoles internet courants tels que DNS, NTP, memcached, CharGen ou QOTD sont tous devenus des chiens de garde pour les attaques DDoS.
La ressource est entre les mains d’Azure
Memcached est le pire d’entre eux. C’est un système de mise en cache d’objets distribué, à haute performance et à code source ouvert. Il est utile pour les réseaux sociaux comme Facebook et ses créateurs LiveJournal à utiliser comme magasin clé-valeur en mémoire, pour des données arbitrairement petites. Lorsqu’il a été abusé, Cloudflare, l’entreprise spécialisée dans la recherche et les performances du web, a trouvé 15 octets de requête pouvant entraîner 750 Ko de trafic d’attaque, soit une amplification de 51 200 fois.
Dans ce cas, Microsoft ne sait pas lequel a été utilisé mais lié au DNS. Les attaques exploitant le DNS peuvent provoquer 28 à 54 fois le nombre d’octets initial. Donc, si une charge utile de 64 octets est envoyée par un attaquant à un serveur DNS, plus de 3 400 octets de trafic indésirable vers la cible de l’attaque peuvent être générés.
Bien que la façon dont Microsoft a intercepté l’attaque ne soit pas claire, la société affirme que la plate-forme de protection DDoS d’Azure construite sur des pipelines distribués de détection et d’atténuation DDoS, peut absorber des dizaines d’attaques DDoS. Cette capacité d’atténuation agrégée et distribuée peut massivement évoluer pour absorber le plus grand volume de menaces DDoS, donnant aux clients la meilleure réputation et une protection.
Normalement, le système de défense se déclenche lorsqu’il détecte une attaque DDoS en développement. Cela simplifie les étapes de détection habituelles requises et applique immédiatement des défenses, évitant les dommages collatéraux causés par des attaques de cette ampleur.
——————————————————
