Attaques DDoS : les bombardements en tapis s'intensifient rapidement

Ces dernières années, les attaques par déni de service distribué (DDoS) sont devenues plus fréquentes et sophistiquées. Les acteurs malveillants continuent de trouver de nouveaux moyens d’inonder les réseaux cibles d’attaques à grande échelle qui se développent de façon exponentielle et qui utilisent différentes techniques d’attaque.

Le bombardement en tapis fait partie de ces techniques destructrices qui sont devenues une préoccupation majeure pour les entreprises et les prestataires de services du monde entier, d'autant plus qu'elles sont de plus en plus utilisées par des hacktivistes sophistiqués.

L’impact des attaques DDoS en tapis peut être dévastateur pour une organisation. Ils provoquent des temps d'arrêt prolongés sur de grandes parties du réseau et infligent des pertes financières et des atteintes à la réputation.

Les attaques DDoS sont conçues pour submerger les ressources de la cible, rendant leurs services inaccessibles aux utilisateurs légitimes. Cependant, le bombardement en tapis porte l'attaque DDoS traditionnelle à un tout autre niveau en exploitant un vaste réseau de botnets pour orchestrer des attaques simultanées sur plusieurs cibles. L’ampleur et la complexité de cette approche rendent sa défense particulièrement difficile.

Voici trois éléments d’une attaque à la bombe en tapis.

1. Recrutement de botnets : Les attaquants recrutent un nombre massif d'appareils compromis, notamment des ordinateurs, des serveurs, des routeurs et des appareils IoT, à l'insu de leurs propriétaires. Ces appareils sont ensuite regroupés dans un botnet.2. Exécution de l'attaque :Une fois le botnet recruté, l’attaquant se retirera très probablement et attendra la commande d’attaque car il suppose que la cible dispose d’une solution d’atténuation.

L'attaquant enverra ensuite une attaque dispersée, au lieu d'envoyer des attaques vers des adresses IP de destination individuelles, pour tenter de mesurer les seuils configurés et rechercher ce qui peut et ne peut pas être violé.

En fin de compte, ils recherchent un juste en dessous du seuil de taux configuré. Une fois que cela est trouvé, l'attaquant reculera ou peut-être le maintiendra pendant un certain temps (de quelques heures à quelques jours) pour comprendre s'il a été repéré et mis sur liste de blocage.

Passons maintenant au commandement de frappe. L’attaquant initie le même volume de trafic malveillant, bombardant cette fois l’intégralité du ou des sous-réseaux ou des CIDR (des milliers d’adresses IP de destination) en même temps.

En restant en dessous du seuil, tous les serveurs attaqués tentent de réagir, ce qui crée une inondation écrasante qui fera souffrir les services internes, y compris le dispositif d'atténuation. Ce flot de trafic submerge l'infrastructure réseau de la cible, rendant les services en ligne inaccessibles.

3. Une approche multi-vecteurs : Le bombardement DDoS utilise plusieurs vecteurs d'attaque, notamment des attaques volumétriques (inondant le réseau avec un trafic excessif), des attaques de couche applicative (ciblant des applications ou des services spécifiques) et des attaques de protocole (exploitant les vulnérabilités des protocoles réseau). Cette approche multiforme maximise les chances de succès.

Il est plus difficile de se protéger contre les attaques DDoS en tapis que de se protéger contre une attaque ciblée, simplement parce que la plupart des fournisseurs DDoS atténuent les attaques contre les adresses IP individuelles et non contre les sous-réseaux et les réseaux. Les conséquences d’une mauvaise protection varient.

Les organisations ciblées par les bombardements DDoS peuvent subir d’importantes interruptions de service, entraînant des pertes financières, une réputation ternie et le mécontentement des clients. L'indisponibilité des services critiques peut entraîner de graves problèmes opérationnels.

Étant donné que les bombardements DDoS ciblent simultanément plusieurs entités, les dommages collatéraux sont également fréquents. Même si une cible parvient à atténuer l’attaque, le volume considérable du trafic malveillant peut affecter l’infrastructure dans son ensemble, provoquant des ralentissements ou des pannes pour d’autres utilisateurs et services.

Pour se protéger contre les attaques en tapis, les organisations doivent suivre plusieurs bonnes pratiques. Pour commencer, ils auront besoin d’un détecteur et d’un atténuateur DDoS capables d’afficher la surveillance du réseau en temps de paix ainsi que d’identifier les modèles de trafic anormaux et les attaques DDoS potentielles en temps réel. Une détection précoce permet une réponse rapide. L’étape suivante consiste à mettre en place une mesure d’atténuation automatique.