Africa teaching

Les attaques par saturation DoS font souffrir les fournisseurs d'accès

Pour faire plier les réseaux, les pirates envoient des paquets de données toujours plus volumineux, atteignant 40 Gbit/s. La situation atteint un niveau critique, prévient Arbor Networks dans un rapport montrant les difficultés des fournisseurs d'accès à faire face.                                             
Les infrastructures des fournisseurs d'accès internet n'ont jamais été autant mises à rude épreuve par les pirates. En terme de quantité de paquets de données envoyés, leurs réseaux font face à des attaques par saturation avec déni de service distribué (DDoS) d'une envergure inédite.

Le seuil des 40 Gbit/s franchi, du jamais vu

Ils atteignent les limites de leur résistance, selon la conclusion alarmante de la 4e édition du Worldwide Infrastructure Security Report de la société Arbor Networks. Un rapport pour lequel 70 experts mondiaux de la sécurité, dont des Français, ont répondu à 90 questions concernant les menaces pesant sur les backbones de l'internet et les défis en terme d'ingénierie.

Les attaques de type DDOS ne sont pas nouvelles, mais elles se distinguent désormais en terme de charge à gérer. Elles ont, cette année, franchi la barre des 40 Gbit par seconde, soit près du double du volume reçu l'année précédente, indique Rob Malan, fondateur et directeur des technologies chez Arbor Networks.

Si la tendance se confirme avec un nouveau doublement, s'alarme-t-il, « la plupart des fournisseurs ne pourront plus gérer ces attaques ».

Pour décrire la méthode des pirates, Arbor Networks parle de « force brute ». Ce terme évoque habituellement une technique pour casser des mots de passe en employant tous les moyens possibles, soit un passage en force.

Un manque de sophistication

Malgré leur ampleur, ces attaques « manquent de sophistication », ayant pour seul but de « tenter de consommer toute la bande passante », commente la société, après avoir passé en revue les autres modes usuellement employés par les pirates pour les attaques DDoS - Syn et UDP par exemple -, et tout ce qui crée artificiellement des embouteillages sur les réseaux.

En terme de popularité des attaques par saturation, celles visant les applicatifs (serveurs web, bases de données SQL par exemple) et celles par saturation des ports utilisés pour les services (UDP, ICMP par exemple) restent les plus populaires.

Dans le cas d'attaques d'applicatifs, indique Rob Malan, les PC zombies enrôlés dans des botnets internationaux établissent des connexions avec un site ciblé, puis « utilisent un protocole d'application pour faire une demande valide, et pas quelque chose qu'un IDS ou autre type de pare-feu repérerait aussitôt ». Ainsi, un botnet peut commander à ses machines zombies de lancer une requête sur une base de données. « Une opération anodine en soi, mais qui si elle est multipliée à grande échelle, monopolise les ressources de l'application - en l'occurrence la base de données. »

Des délais de neutralisation encore longs

Côté détection, le rapport donne des signes mitigés. Arbor Networks constate que les attaques sont plus vite mises au jour et neutralisées pour 15% des interrogés : dix minutes en moyenne leur sont nécessaires pour y parer. Mais 30% des FAI indiquent tout de même mettre plus d'une heure.

Face à l'envergure des attaques, les fournisseurs accordent peu de temps à l'identification des auteurs. Ce n'est pas la principale priorité : « Les FAI sont payés en fonction du trafic, pas pour faire des enquêtes après coup. C'est une perte d'un point de vue financier », commente Rob Malan.


Ce graphique montre que la taille des attaques DDoS a quasiment doublé d'une année sur l'autre. (Crédit photo : Arbor Networks)

Par Robert Vamosi, CNET News.com



17/11/2008
0 Poster un commentaire

A découvrir aussi


Inscrivez-vous au blog

Soyez prévenu par email des prochaines mises à jour

Rejoignez les 125 autres membres