Déni de service : les attaques s'appuyant sur memcached battent tous les records

Fin février, Akamai a indiqué avoir observé une attaque en déni de service distribué (DDoS) par amplification/réflexion, s’appuyant sur le service de base de données en mémoire memcached pour générer un trafic de 1,3 Tbps. OVH a également observé une attaque comparable sur l’un de ses clients, « parfaitement interceptée » par son système de protection VAC et cela « sans interruption de service ». GitHub a encassé plus, avec un trafic maximum de 1,35 Tbps. Le service a été temporairement inaccessible. Mais tout cela pourrait bien n’être qu’un début.

Netscout Arbor vient en effet de « confirmer une attaque par amplification/réflexion à 1,7 Tbps ayant visé un client d’un fournisseur de services américain » et enregistrée par son système de suivi du trafic et des menaces DDoS. Dans un billet de blog, l’équipementier explique que l’attaque s’appuyait là encore sur des services memcached mal configurés.

Dans son premier billet de blog sur le sujet, Akamai indiquait déjà s’attendre à ce que le record de 1,3 Tbps « ne le reste pas pour longtemps ». Il n’aura pas fallu bien longtemps pour l’histoire lui donne raison. Et il y a plusieurs justifications à cela.

Tout d’abord, le potentiel d’amplification est considérable. Cloudfare explique ainsi qu’une requête de 15 octets peut générer une réponse de 750 ko, soit un facteur multiplicateur de 51 200. En outre, de telles attaques DDoS sont rendus possibles par l’exposition des services Memcached sur Internet, sur le port UDP 11211 : ce protocole permet à l’attaque d’envoyer des paquets en faisant passer pour… sa cible qui, elle, recevra donc les réponses et se retrouvera noyée sous celles-ci. Le moteur de recherche spécialisé Shodan compte plus de 99 000 serveurs à travers le monde susceptibles d’être utilisés à l’insu de leurs exploitants, dans des attaques DDoS, dont plus de 4 500 en France.

Pour beaucoup, les attaques DDoS devraient rapidement passer la barre des 2 Tbps. Ofer Gayer, chef produit sénior chez Imperva, estime même que des attaques à 3 Tbps pourraient être observées « d’ici 18 à 24 mois ». Et ces chiffres ne sont pas à prendre à la légère.

Si l’infrastructure d’OVH résiste aujourd’hui bien, ce n’est pas forcément le cas de tout le monde. Pour Donny Chong, chef de produit chez Nexusguard, « une attaque à 2 Tbps est suffisante pour faire tomber des dorsales et des fournisseurs d’accès à Internet régionaux, selon la manière dont elle est distribuée ». Selon lui, « si des services majeurs venaient à être visés, comme on a pu le voir avec Dyn, il n’est pas impossible que la plupart des services en ligne soient affectés ».

Avec nos confrères de SearchSecurity.com (groupe TechTarget).