Attaques par d\u00e9ni de service distribu\u00e9 (DDoS) utilisant une nouvelle technique d’amplification appel\u00e9e R\u00e9flexion du bo\u00eetier interm\u00e9diaire TCP<\/b> ont \u00e9t\u00e9 d\u00e9tect\u00e9s pour la premi\u00e8re fois dans la nature, six mois apr\u00e8s la pr\u00e9sentation th\u00e9orique du nouveau m\u00e9canisme d’attaque.<\/p>\n
“L’attaque [\u2026] abuse des pare-feux et des syst\u00e8mes de filtrage de contenu vuln\u00e9rables pour refl\u00e9ter et amplifier le trafic TCP vers une machine victime, cr\u00e9ant ainsi une puissante attaque DDoS \u00bb, des chercheurs d’Akamai mentionn\u00e9<\/a> dans un rapport publi\u00e9 mardi.<\/p>\n “Ce type d’attaque abaisse dangereusement la barre des attaques DDoS, car l’attaquant n’a besoin que de 1\/75e (dans certains cas) de la quantit\u00e9 de bande passante d’un point de vue volum\u00e9trique”, ont ajout\u00e9 les chercheurs.<\/p>\n Un d\u00e9ni de service r\u00e9flexif distribu\u00e9 (DRDoS<\/a>) est une forme d’attaque par d\u00e9ni de service distribu\u00e9 (DDoS) qui s’appuie sur des serveurs UDP accessibles au public et des facteurs d’amplification de la bande passante (BAF) pour submerger le syst\u00e8me d’une victime avec un volume \u00e9lev\u00e9 de r\u00e9ponses UDP.<\/p>\n Dans ces attaques, l’adversaire envoie un flot de requ\u00eates DNS ou NTP contenant une adresse IP source falsifi\u00e9e \u00e0 l’actif cibl\u00e9, obligeant le serveur de destination \u00e0 renvoyer les r\u00e9ponses \u00e0 l’h\u00f4te r\u00e9sidant \u00e0 l’adresse usurp\u00e9e d’une mani\u00e8re amplifi\u00e9e qui \u00e9puise la bande passante. d\u00e9livr\u00e9 \u00e0 la cible.<\/p>\n Le d\u00e9veloppement fait suite \u00e0 une \u00e9tude universitaire publi\u00e9e en ao\u00fbt 2021 sur un nouveau vecteur d’attaque qui exploite les faiblesses de l’impl\u00e9mentation du protocole TCP dans bo\u00eetes de m\u00e9diation<\/a> et une infrastructure de censure pour mener des attaques d’amplification par d\u00e9ni de service (DoS) r\u00e9fl\u00e9chies contre des cibles.<\/p>\n Alors que les attaques d’amplification DoS ont traditionnellement abus\u00e9 des vecteurs de r\u00e9flexion UDP – en raison de la nature sans connexion du protocole – la technique d’attaque non conventionnelle tire parti de la non-conformit\u00e9 TCP dans les bo\u00eetiers de m\u00e9diation tels que l’inspection approfondie des paquets (PPP<\/a>) pour mettre en sc\u00e8ne des attaques d’amplification r\u00e9flectives bas\u00e9es sur TCP.<\/p>\n La premi\u00e8re vague de campagnes d’attaques “perceptibles” tirant parti de cette technique se serait produite vers le 17 f\u00e9vrier, frappant les clients d’Akamai dans les secteurs de la banque, du voyage, des jeux, des m\u00e9dias et de l’h\u00e9bergement Web avec des volumes de trafic \u00e9lev\u00e9s qui ont culmin\u00e9 \u00e0 11 Gbps \u00e0 1,5 million de paquets par seconde (Mpps).<\/p>\n “Le vecteur a \u00e9t\u00e9 utilis\u00e9 seul et dans le cadre de campagnes multi-vecteurs, la taille des attaques augmentant lentement”, a d\u00e9clar\u00e9 Chad Seaman, responsable de l’\u00e9quipe de recherche sur le renseignement de s\u00e9curit\u00e9 (SIRT) chez Akamai, \u00e0 The Hacker News.<\/p>\n L’id\u00e9e centrale de la r\u00e9flexion bas\u00e9e sur TCP est de tirer parti des bo\u00eetiers de m\u00e9diation utilis\u00e9s pour appliquer les lois de censure et les politiques de filtrage de contenu d’entreprise en envoyant des paquets TCP sp\u00e9cialement con\u00e7us pour d\u00e9clencher une r\u00e9ponse volum\u00e9trique.<\/p>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/TrickBot-Gang-est-susceptible-de-modifier-ses-operations-pour-passer.png\")
<\/a><\/div>\n![\"R\u00e9flexion](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/Les-pirates-commencent-a-armer-la-reflexion-TCP-Middlebox-pour.gif\" "\\"R\u00e9flexion")
<\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645701002_140_Dridex-Malware-Deploiement-Entropy-Ransomware-sur-des-ordinateurs-pirates.png\")
<\/a><\/div>\n