Attaque DDoS à grande échelle contre Spamhaus

Publié le 28 mars 2013 par Cr@zy @crazyws

Une des attaques DDoS les plus agressives de l'histoire et qui est passée quasi inaperçue a été réalisée la semaine dernière. Du moins c'est ce que le New York Times rapporte, se référant aux déclarations faites par un membre de haut rang d'Akamai. Cette attaque visait l'organisation anti-spam Spamhaus.

Apparemment, Spamhaus l'aurait "un peu cherché" en blacklistant des rangs d'IPs appartenant à Cyberbunker, un service d'hébergement néerlandais réputé pour son spam. Comme prés de 80% des filtres anti-spam utilisent cette liste noire, les clients du service d'hébergement se sont soudainement retrouvés presque incapables d'envoyer des e-mails.

Peu de temps après, le 19 Mars, une attaque DDoS initiale assez modérée mais qui est montée très vite au créneau a été déclenchée sur les serveurs Web de Spamhaus. Selon Akamai, l'attaque en flux de données a atteint jusqu'à 300 Gbits/s en peak. Seulement quelques heures après l'attaque, Spamhaus a presté Cloudfare pour atténuer l'attaque. Dans un article de blog (et un autre un peu plus tard), le PDG Matthew Prince de Cloudfare décrit comment l'attaque a progressé et livre les différentes analyses faites sur les techniques des pirates.

Selon Matthew, la majorité du trafic indésirable a été généré à l'aide d'attaques de type DNS amplification ou DNS reflection. Cette méthode bien connue repose sur le fait qu'il y a des milliers de serveurs DNS dans le monde ouverts qui répondront à toute demande sans autre vérification. Les pirates ont alors envoyés des requêtes avec l'adresse IP spoofée de leur victime vers ces "open resolvers" si on peut dire.

Dans le cas présent, chauqe demande est d'environ 36 octets et demande un fichier de zone DNS d'environ 3000 octets. Par conséquent, les serveurs DNS amplifient la demande par un facteur de 100. Matthew explique que Cloudfare a enregistré au moins 30.000 demandes de serveurs DNS. Selon lui, les pirates avaient seulement besoin 750 MBits/s de bande passante sortante pour générer un trafic de 75 GBits/s sur leur victime. Seul un botnet de faible ampleur a dont été nécessaire pour mettre hors ligne le site web de Spamhaus a ajouté Matthew.

Matthew n'a d'ailleurs pas hésité à comparer la technique de réflexion de DNS à une bombe nucléaire. Akamai a constaté que l'attaque a eu des effets significatifs sur les charges réseau mondiales. Apparemment, des pages webs étaient temporairement inaccessibles et des services de streaming comme Netflix ont subi quelques perturbations.

-----
Copyright © Cr@zy WS
-----