La plus récente Rapport radar Gcore et ses conséquences ont mis en évidence une augmentation spectaculaire des attaques DDoS dans plusieurs secteurs. Début 2023, la force moyenne des attaques atteint 800 Gbit/s, mais maintenant, même un pic aussi élevé que 1,5+ Tbps n’est pas surprenant. Pour tenter de percer les défenses de Gcore, les auteurs ont effectué deux tentatives avec deux stratégies différentes. Poursuivez votre lecture pour découvrir ce qui s’est passé et comment le fournisseur de sécurité a stoppé les attaquants sans affecter l’expérience des utilisateurs finaux.
Une puissante attaque DDoS
En novembre 2023, l’un des clients de Gcore issu de l’industrie du jeu vidéo a été ciblé par deux attaques DDoS massives, culminant respectivement à 1,1 et 1,6 Tbps. Les attaquants ont déployé diverses techniques dans une tentative infructueuse de compromettre les mécanismes de protection de Gcore.
Attaque n° 1 : DDoS basé sur UDP à 1,1 Tbit/s
Lors de la première cyberattaque, les attaquants ont envoyé un barrage de trafic UDP vers un serveur cible, culminant à 1,1 Tbps. Deux méthodes ont été employées :
- En utilisant ports sources UDP aléatoiresils espéraient échapper aux mécanismes de filtrage conventionnels.
- Les assaillants ont dissimulé leur véritable identité en forger des adresses IP sources.
Il s’agissait d’une attaque classique (ou volumétrique), dans laquelle les attaquants espéraient consommer toute la bande passante disponible d’un centre de données ou d’un réseau, submergeant ainsi les serveurs cibles de trafic et les rendant indisponibles pour les utilisateurs légitimes.
Le graphique ci-dessous montre le trafic du client pendant l’attaque. Le pic de 1,1 Tbit/s témoigne d’une tentative agressive mais de courte durée d’inonder le réseau de données. La ligne verte (« total.general.input ») affiche tout le trafic entrant. Les autres lignes colorées du graphique représentent les réponses du réseau, y compris les mesures visant à filtrer et à supprimer le trafic malveillant, à mesure que le système gère le déluge de données.
 |
| L’attaque comprenait un pic court mais intense de 1,1 Tbps vers 22h55. |
Attaque n°2 : DDoS basé sur TCP à 1,6 Tbit/s
 |
| Le volume de trafic constant de l’attaque était de 700 Mbit/s et, au début, il a culminé à 1 600 Mbit/s. |
Cette fois, les attaquants ont tenté d’exploiter le protocole TCP avec un mélange de Inondation SYNPSH et ACK.
Lors d’une attaque par inondation SYN, plusieurs paquets SYN sont livrés au serveur cible sans paquets ACK. Cela signifie que le serveur génère une connexion semi-ouverte pour chaque paquet SYN. En cas de succès, le serveur finira par manquer de ressources et cessera d’accepter les connexions.
La phase PSH, ACK de l’attaque envoie rapidement des données au système cible. Le drapeau ACK signale que le serveur a reçu le paquet précédent. Cela pousse le système à traiter les données rapidement, gaspillant ainsi des ressources. Une attaque par inondation SYN utilisant des paquets PSH et ACK est plus difficile à défendre qu’une inondation SYN, car l’indicateur PSH amène le serveur à traiter immédiatement le contenu du paquet, consommant ainsi plus de ressources.
Comme auparavant, l’objectif était de surcharger les serveurs du client et de rendre leurs services inaccessibles aux utilisateurs autorisés. Cette inondation SYN avait un volume maximal de 685,77 Mbps et le PSH, ACK avait une magnitude de 906,73 Mbps.
Les stratégies défensives de Gcore
La protection DDoS de Gcore a neutralisé efficacement les deux attaques tout en préservant un service régulier pour les utilisateurs finaux du client. L’approche générale pour repousser les menaces de sécurité DDoS comprend plusieurs techniques, telles que les défenses de première ligne de Gcore :
- Mise en forme dynamique du trafic : Les taux de trafic ajustés dynamiquement atténuent efficacement l’impact de l’attaque tout en garantissant la continuité des services critiques. Afin de donner la priorité au trafic réel tout en ralentissant les transmissions nuisibles, des seuils adaptatifs et des restrictions de débit sont utilisés.
- Détection des anomalies et quarantaine : Les modèles basés sur le machine learning analysent le comportement pour identifier les anomalies. Lorsqu’une anomalie se produit, des mécanismes de quarantaine automatisés redirigent le trafic erroné vers des segments isolés pour une analyse supplémentaire.
- Filtres d’expressions régulières : Pour bloquer les charges utiles malveillantes sans perturber le trafic légitime, des règles de filtrage basées sur les expressions régulières sont mises en œuvre. Leur mise au point continue garantit une protection optimale sans faux positifs.
- Intelligence collaborative sur les menaces : Gcore s’engage activement dans l’échange de renseignements sur les menaces avec ses pairs du secteur. Des informations collectives et des flux de menaces en temps réel guident les techniques de sécurité de Gcore, permettant une réponse rapide au développement de vecteurs d’attaque.
En employant ces stratégies, Gcore a pu atténuer efficacement l’impact des attaques DDoS et protéger la plate-forme de son client contre les perturbations, annulant ainsi les pertes potentielles de réputation et financières.
Conclusion
Les attaques DDoS d’un volume supérieur à 1,5 Tbit/s représentent un danger croissant dans tous les secteurs, les attaquants utilisant des techniques imaginatives pour tenter de contourner les services de protection. Au cours de l’année 2023, Gcore a enregistré une augmentation des volumes d’attaques moyens et maximaux, et ces deux attaques connectées démontrent cette tendance.
Dans les attaques couvertes dans l’article, Gcore a pu prévenir tout dommage grâce à une combinaison de gestion dynamique du trafic, de détection d’anomalies, de filtres d’expressions régulières et de renseignements collaboratifs sur les menaces. Explorer Protection contre les attaques DDoS options pour sécuriser votre réseau contre les menaces DDoS en constante évolution.