Des attaques DDoS de plus de 10 Tbit/s en vue ?
L'arsenal des attaques DDoS (Distributed Denial of Service) vient de s'enrichir d'une nouvelle arme?: le LDAD. Ou, plus précisément le CLDAP (pour Connectionless Lightweight Directory Access Protocol), une variante qui utilise le protocole UDP (User Datagram Protocol) pour le transport des informations propres à la gestion des services d'annuaires à la place du traditionnel TCP/IP. C'est du moins le constat du fournisseur de solutions anti-DDoS Corero Network Security, qui tire la sonnette d'alarme.
Des DDoS courtes mais puissantes
La semaine dernière, la firme basée à Marlborough (Massachussetts) a constaté « un nouveau vecteur d'attaque DDoS zero-day significative observée pour la première fois contre ses clients ». Des attaques courtes mais puissantes, à en croire le fournisseur. « La technique a la capacité d'infliger des dommages importants en misant sur un facteur d'amplification allant jusqu'à 55 fois ». Autrement dit, l'attaque qu'a subie le site Krebsonline fin septembre, avec des pics de 655 Gbit/s, pourrait dès lors se traduire par par des assauts atteignant des dizaines de Tbit/s. Et ce « dans un futur pas très éloigné », alerte Corero.
Le site du journaliste spécialisé en sécurité Brian Krebs n'est pas cité au hasard. L'attaque contre ce dernier a été générée à partir d'un botnet Mirai, le malware qui prend le contrôle d'objets connectés pour lancer des attaques DDoS. Après OVH, qui a essuyé des charges de 1,6 Tbit/s, le fournisseur de serveurs DNS Dyn en a également fait les frais récemment. Ce qui a plongé une partie du web américain dans le noir pendant quelques heures. Et la mise à disposition en libre service du code source de Mirai laisse craindre une multiplication prochaine des attaques DDoS lancées à partir de réseaux pervertis d'objets connectés.
Une incidence significative sur la disponibilité d'Internet
Et les catastrophes pourraient s'enchainer pour peu que les attaquants décident d'exploiter la méthode CLDAP découverte par Corero. C'est en tout cas l'avis de son directeur technique Dave Larson qui déclare?: « Ce nouveau vecteur peut représenter une escalade importante dans le paysage DDoS déjà dangereux avec un potentiel qui fera passer les récentes attaques médiatisées comme des assauts de relativement faible intensité en comparaison. [.] Les attaques à l'échelle du térabit pourraient bientôt devenir une réalité et avoir une incidence significative sur la disponibilité d'Internet - ou au moins la dégrader dans certaines régions. »
Dans le cas des attaques CLDAP, les attaquants ont exploité le principe de réflexion et d'amplification pour noyer les serveurs ciblés sous un déluge de requêtes. Il leur a suffi d'envoyer des demandes à des réflecteurs vulnérables supportant les services CLDAP à partir d'adresses usurpées apparaissant comme provenant d'expéditeurs légitimes. qui sont aussi la cible finale des attaquants. Le service d'annuaire répond alors à ces requêtes en renvoyant du trafic, non pas vers l'expéditeur original (l'attaquant) mais vers les adresses usurpées (l'entreprise attaquée) générant ainsi un trafic non désiré. Un trafic amplifié par le fait que les serveurs LDAP, comme pour nombre d'autres protocoles, renvoient un message bien plus grand que la taille des requêtes initiales. Corero a ainsi constaté des amplifications de bande passante variant entre 46 et 55 fois. Autrement dit, les réponses sont environ 50 fois plus lourdes que les requêtes. De quoi sacrément encombrer l'infrastructure qui les reçoit.
Des attaques évitables
Comme le protocole UDP ne prend pas la peine de valider la source originale de la requête et sa légitimité (contrairement au TCP), les systèmes CLDAP renvoient bêtement des messages d'erreurs signalant l'adresse erronée aux serveurs supposément émetteurs des demandes. Une faiblesse protocolaire dont tirent parti les assaillants pour mener des attaques DDoS par réflexion amplifiée. Dans ce cadre, le CLDAP vient s'ajouter à une trop longue liste de services qui ont déjà été victimes de DDoS par réflexion?: DNS (Domain Name System), NTP (Network Time Protocol), SNMP (Simple Network Management Protocol), SSDP (Simple Service Discovery Protocol) et Ghargen (Character Generator Protocol).
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Si « le LDAP n'est pas le premier et ne sera pas le dernier protocole ou service à être exploité de cette façon », nombre des attaques DDoS par réflexion/amplification pourraient être évitées, estime Dave Larson. Il suffirait de configurer correctement les routeurs afin qu'ils identifient les adresses usurpées et les éliminent avant que les requêtes qui les transportent n'atteignent leurs destinations. Une méthode décrite dans le BCP (best common practice) 38 de la RFC 2827 de l'IETF (Internet Engineering Task Force). Une « mesure d'hygiène [qui] réduirait significativement le problème global des DDoS par réflexion », estime le directeur technique. C'est en tout cas comme cela que Corero a pu protéger ses clients de cette nouvelle forme d'attaque DDoS.
Lire également
DDoS à vendre : autopsie d'un service de hacking à la demande
Dyn submergé par un botnet de 100 000 objets connectés
DDoS : 9 attaques sur 10 sont lancées depuis des services à la demande
Sur le même thème
Voir tous les articles Business