RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE D'ATTAQUES PAR DÉNI DE SERVICE DISTRIBUÉ (DDOS) 1ÈRE ÉDITION 1ER TRIMESTRE 2014

Transcription

1 RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE D'ATTAQUES PAR DÉNI DE SERVICE DISTRIBUÉ (DDOS) 1ÈRE ÉDITION

2 SYNTHÈSE Ce rapport contient les observations et perspectives issues des limitations mises en place à la demande des clients Verisign DDoS Protection Services et avec leur coopération. Il représente un point de vue unique sur les tendances des attaques en ligne au cours du trimestre précédent, y compris les statistiques des attaques, les tendances de comportement et les perspectives d'avenir. Entre le 1er janvier et le 31 mars 214, Verisign a observé les grandes tendances suivantes : 83 % D'AUGMENTATION de la taille moyenne des attaques par rapport au trimestre précédent Verisign a noté une augmentation de 83 % de la taille moyenne des attaques par rapport au trimestre précédent (4e trimestre 213) et d'environ 6 % par rapport au 1er trimestre 213. Les attaquants ont lancé des attaques par amplification massives à l'aide des techniques d'amplification de DNS et de réflecteur NTP contre les clients ciblés et les fournisseurs d'infrastructures. La taille des attaques volumétriques la plus courante était comprise entre 5 et 75 gigabits par seconde (). Environ 3 % des attaques contre les clients Verisign étaient ciblées spécifiquement sur la couche d'application (la couche SSL en particulier), ce qui a contraint Verisign à recourir à des techniques de limitation avancées. Les attaquants ciblent un ensemble beaucoup plus vaste de secteurs d'activité que le seul secteur des services financiers. Les secteurs des médias et des divertissements ont subi le plus d'attaques au 1er trimestre, suivis par le secteur des services informatiques/cloud/saas. Verisign y voit des indications que les attaquants pourraient exploiter d'autres protocoles UDP pour de grandes attaques par amplification dans un avenir proche ; cela pourrait constituer un vecteur attractif en raison de la simplicité et de la nature statique de l'udp. 2

3 4 3,92 3, ,14 Gbps 3.92 Gbps... 1er trimestre 4e trimestre 1er trimestre STATISTIQUES SUR LES ATTAQUES Les données de limitation Verisign du 1er trimestre 214 confirment que les attaques DDoS contre les entreprises en ligne et les applications Web continuent de se développer en taille et dans leur complexité. Au cours de cette période, Verisign a constaté une augmentation considérable de la taille de pointe moyenne des attaques DDoS ciblant ses clients. La taille moyenne des attaques (3,92 ) a augmenté de 83 % par rapport au trimestre précédent (2,14 en moyenne au 4e trimestre 213) et d'environ 6 % par rapport au même trimestre de l'année précédente (3,7 au 1er trimestre 213). Au 1er trimestre 214, les attaques par réflexion NTP et par amplification DNS ont été les plus courantes constatées par Verisign. Le principal vecteur au 1er trimestre 213 provenait de l'amplification DNS en raison des attaques avec itsoknoproblembro, mieux connus sous le nom de Brobot, qui ont ciblé les installations PHP et Joomla. Le type d'attaque NTP a remplacé les principaux vecteurs d'attaques rencontrés l'an dernier. Verisign a constaté de grandes attaques par réflexion NTP autour de décembre 213, et cette tendance s'est poursuivie au 1er trimestre 214 et jusqu'à la date de publication de ce document. Verisign a limité de nombreuses attaques par amplification, comprises entre 5 et 75, à la demande de clients au 1er trimestre. TENDANCES COMPORTEMENTALES Adaptabilité accrue 5 À 75 G B I TS / S Taille moyenne des attaques par amplification au 1er trimestre Au 1er trimestre 214, Verisign a constaté que les attaquants DDoS continuaient à adapter de plus en plus leur comportement, comme ils l'avaient fait en 213. À plusieurs reprises, des attaquants ont contrôlé de manière continuelle l'efficacité de leurs attaques en cours, et ont modifié leurs techniques pour contourner les stratégies de limitation appliquées. Les techniques des attaquants ont également évolué pour attaquer les composants de l'infrastructure des sites Web victimes et tous services de limitation de DDoS protégeant ces sites Web. Le trafic d'une attaque est normalement destiné à l'adresse IP d'un site Web ciblé ; les attaquants ont utilisé ces nouvelles méthodes pour cibler l'adresse IP des différents routeurs installés le long du chemin du réseau jusqu'au site Web ciblé, à la recherche du «maillon faible». QU'EST-CE QU'UN NTP? DESCRIPTION EXPLOITATION LIMITATION Des organisations utilisent le NTP (NetworkTransfer Protocol, protocole de transfert du réseau) pour synchroniser les périphériques, routeurs, commutateurs, pare-feux, systèmes de détection des intrusions, serveurs, stations de travail et systèmes VoIP de leurs réseaux et les périphériques de leurs clients qui se connectent à leurs réseaux. NTP utilise UDP (User Datagram Protocol, protocole de datagramme utilisateur) en se servant du port 123 comme source et comme destination, qui utilise à son tour IP, comme indiqué dans la demande de commentaire (RFC) 595 pour la version actuelle de NTP, la version 4. NTP fournit à un attaquant potentiel des informations sur un système, y compris pptime, temps passé depuis la dernière réinitialisation, statistiques de la mémoire et listes de pairs NTP. Un attaquant qui utilise des outils courants tels que Metasploit et Nmap peut déterminer les serveurs NTP ouverts compatibles avec monlist. Le succès de cette attaque repose sur l'exploitation de la fonction monlist de NTP. Cette fonction est activée par défaut sur les anciens périphériques compatibles NTP. Cette commande envoie une liste des 6 dernières adresses IP utilisées pour connecter le serveur NTP et la victime. Du fait de l'adresse source usurpée, lorsque le serveur NTP envoie la réponse, elle est envoyée à la cible et non à l'adresse usurpée qui a envoyé la demande. Comme la taille de la réponse est nettement supérieure à celle de la demande, l'attaquant peut amplifier le volume de trafic dirigé vers le réseau de la victime. Un moyen de réduire les effets d'une attaque NTP entrante consiste à limiter le trafic NTP autorisé à entrer sur le réseau. Une solution consiste à désactiver monlist sur le serveur NTP ou de réaliser une mise à niveau vers la dernière version de NTP (4.2.7), qui désactive la fonction monlist. 3

4 CIBLAGE DE LA COUCHE D'APPLICATION Verisign a enregistré 3 % des attaques au niveau de la couche d'application Verisign a constaté qu'environ 3 % des attaques limitées par la plate-forme DDoS Protection Services ciblaient les couches d'application, et en particulier la couche SSL. Ces attaquants ciblaient des applications Web spécifiques, des en-têtes de protocoles et des paramètres d'applications pour réduire la disponibilité de la victime ciblée. Alors que ces attaques avaient souvent un volume global inférieur, elles représentaient des attaques plus complexes, contraignant Verisign à appliquer des techniques de limitation sophistiquées, incluant souvent une combinaison de génération de signatures en temps réel, d'inspection des paquets et diverses techniques de gestion des ressources et de traitement des capacités des clients. La plate-forme de limitation DDoS Athena propriétaire de Verisign, associée aux renseignements sur les menaces partagés en interne de Verisign idefense Security Intelligence Services, s'est montrée particulièrement efficace pour limiter ces attaques complexes. CIBLAGE ÉTENDU DE DIFFÉRENTS SECTEURS Saas/ Cloud/Services informatiques Clients services financiers Verisign Au 1er trimestre 214, les attaquants ont de plus en plus ciblé des secteurs autres que les services financiers. Verisign a enregistré le plus grand nombre d'attaques chez ses clients des secteurs des médias et des divertissements, suivis par le secteur des services informatiques/cloud/saas (voir la Figure 1). Le nombre de limitations Verisign à la demande de clients des services financiers a diminué de 34 % au 1er trimestre 214 par rapport à l'année 213 complète. Le pourcentage de limitations réalisées pour les secteurs des médias/divertissements et du e-commerce a augmenté de 33 % par rapport à 213. Le secteur des services informatiques/cloud/saas ont déploré les plus grandes attaques, avec des pointes à 64, tandis que les plus grandes attaques de clients Verisign 213 présentaient des pointes audelà de 16 et étaient dirigées contre des clients des services financiers. LA TAILLE DU RÉSEAU A UNE GRANDE IMPORTANCE EN MATIÈRE DE LUTTE CONTRE LE DDOS Une limitation efficace contre les attaques volumétriques exige une présence importante et un savoir-faire avancé des prestataires de services en matière de réseaux. Le trafic des attaques DDoS peut provenir de toute région dans le monde, et tout profil d'attaque peut inonder les centres de limitation des services régionaux qui ne disposent pas des capacités ni d'une dorsale interconnectée mondialement. Le réseau de limitation de DDoS de Verisign est conçu stratégiquement pour traiter à la fois les charges de trafic nominales et les pointes de trafic importantes propres aux conditions d'attaques DDoS. La configuration MPLS souple permet aux ingénieurs DDoS de Verisign de concevoir et acheminer de manière sélective les flux de trafic en réponse aux attaques DDoS mondiales, de sorte qu'aucun composant ne soit submergé. 4

5 LIMITATIONS AU PAR SECTEUR Médias et divertissement 35 % Services informatiques/ Cloud/Saas 23 % Télécommunications Finance 16 % 11 % Commerce électronique/ publicité en ligne Fabrication 9% 6% 1 Figure 1 : Limitations Verisign par secteur client PERSPECTIVE D'AVENIR «Verisign prévoit l'apparition et la prolifération de nouveaux types d'attaques par amplification et par réflexion.» Le paysage des attaques DDoS change chaque jour, et les attaquants déploient de nouvelles techniques, plus sophistiquées et ciblant un ensemble d'organisations beaucoup plus large. D'après l'analyse des tendances, Verisign prévoit que les attaques DDoS vont continuer à évoluer en termes de taille et de complexité tout au long de l'année 214. Alors que les attaques par amplification DNS restent courantes et que les attaques par réflexion NTP ont émergé, Verisign prévoit l'apparition et la prolifération de nouveaux types d'attaques par amplification et par réflexion. Ces attaques seront susceptibles d'exploiter de nouveaux protocoles et types de ports, et pourraient toucher par surprise à court terme des organisations non préparées et même des services de limitation DDoS. Les protocoles UDP SNMP et IKE sont également des cibles potentielles, qui peuvent être utilisées pour lancer des types d'attaques par usurpation d'adresse IP source, et peuvent faire l'objet d'une amplification similaire à DNS ou NTP. Pour de plus amples informations sur les attaques DDoS, les meilleures pratiques de défense et Verisign DDoS Protection Services, consultez le site VerisignInc.com/DDoS. VerisignInc.com 214 VeriSign, Inc. Tous droits réservés. VERISIGN, le logo VERISIGN, et les autres marques commerciales, marques de services et designs sont des marques commerciales déposées ou non déposées appartenant à VeriSign, Inc. et à ses filiales aux États-Unis et à l étranger. Toutes les autres marques sont détenues par leurs propriétaires respectifs. Verisign Public 2145