Google a atténué la plus grande attaque DDoS jamais enregistrée

Raccoon

Cette nouvelle méthode d’attaque DDoS a été 7,5 fois plus rapide que la dernière attaque la plus puissante et comptabilise un total de 398 millions de requêtes par seconde.

L’attaque par déni de service distribué (DDoS) est un peu le niveau bac à sable de la cyberattaque. Pourtant, elle peut causer bien des dégâts, notamment de la perte d’activité, rendre indisponibles des applications critiques, faire perdre du temps et in fine, de l’argent.

Google Cloud a atténué de la plus grande attaque du genre en août dernier, avec 398 millions de requêtes par seconde (RPS) nous apprend un communiqué de la firme publié ce mercredi. A titre de comparaison, Google a reçu plus de RPS en deux minutes que Wikipédia durant le mois de septembre 2023.

Les hackeurs ont en fait utilisé une nouvelle technique dite, de réinitialisation rapide. Globalement, l’attaque était 7,5 fois plus rapide que n’importe quelle autre jamais enregistrée. A titre de comparaison, la plus puissante de 2022 comptait 46 millions de RPS. Cloudflare et AWS ont également été ciblés par des attaques semblables, de respectivement 201 millions de RPS et 155 millions de RPS.

Une collaboration intersectorielle

La vague d’attaques a débuté fin août et se poursuit encore à ce jour. « Bien que ces attaques soient parmi les plus importantes jamais vues par Google, notre infrastructure mondiale d’équilibrage de charge et d’atténuation des attaques DDoS a contribué au bon fonctionnement de nos services », précise Google dans son communiqué.

La firme dit avoir collaboré avec ses partenaires, d’autres fournisseurs de cloud et responsables de la maintenance de logiciels afin de produire des correctifs et techniques d’atténuation, à ouvrir la voie à « la divulgation responsable et coordonnées » sur cette nouvelle méthode de réinitialisation rapide et de la vulnérabilité de nombreux proxys open source, serveurs d’applications etc.

Source : linformaticien.com

Violence

A savoir que Cloudflare & AWS ont aussi été attaqué au même moment de la même manière et ont eux aussi mitigé la plus grosse attaque DDOS de leur histoire.
Des attaques basées sur une nouvelle technique surnommée HTTP/2 Rapid Reset exploitant une faille zero-day

– Petit complément :

Pour réaliser ces attaques DDoS de niveau 7 (selon le modèle OSI, à savoir la couche applicative) qui ont atteint des niveaux records, les cybercriminels ont exploité une faille de sécurité zero-day présente dans le protocole HTTP/2 (HTTP version 2). Associée à la référence CVE-2023-44487 et un score CVSS de 7.5 sur 10, cette faille de sécurité est idéale pour mener des attaques DDoS.

Baptisée HTTP/2 Rapid Reset, cette technique d’attaque exploite l’une des particularités de HTTP/2 : sa capacité à permettre le multiplexage de requêtes au sein d’une connexion TCP unique. Pour cela, les attaquants établissent un ensemble de connexions HTTP/2 au sein desquelles ils envoient des requêtes immédiatement suivies de reset (trame RST_STREAM), ce qui permet de saturer le serveur sans atteindre le seuil de flux simultanés. Le serveur ne peut que subir le reset puisque c’est en quelque sorte une décision unilatérale du client.

Dans le rapport d’AWS publié par Tom Scholl et Mark Ryland, nous pouvons lire :

Les attaques HTTP/2 Rapid Reset consistent en de multiples connexions HTTP/2 avec des demandes et des réinitialisations en succession rapide. Par exemple, une série de demandes pour plusieurs flux sera transmise, suivie d’une réinitialisation pour chacune de ces demandes. Le système ciblé analysera et traitera chaque demande, générant des logs pour une demande qui est ensuite réinitialisée, ou annulée, par un client.

– Le schéma ci-dessous illustre très bien cette technique :

Les attaques DDoS HTTP/2 Rapid Reset en quelques chiffres

Google, AWS et Cloudflare ont révélé la puissance des attaques DDoS HTTP/2 Rapid Reset qu’ils ont subi. Voici les chiffres communiqués :

• Google : 398 millions de requêtes par seconde (nouveau record !)
• Cloudflare : 201 millions de requêtes par seconde
• Amazon : 155 millions de requêtes par seconde

Au-delà de la puissance de ces attaques, ce qui surprend, c’est le faible nombre de machines nécessaires ! Cloudflare indique que l’attaque DDoS avec 201 millions de requêtes par seconde a impliqué un petit botnet de 20 000 machines. Effectivement, c’est peu quand on sait qu’il existe des botnets avec plusieurs centaines de milliers ou millions de machines zombies…!

Ces attaques sont orchestrées depuis plusieurs mois, et cela continue aujourd’hui, comme le précise Google :

La dernière vague d’attaques a débuté fin août et se poursuit encore aujourd’hui, ciblant les principaux fournisseurs d’infrastructures, notamment les services Google, l’infrastructure Google Cloud et nos clients.

D’ailleurs, Cloudflare précise que depuis fin août son infrastructure a atténué environ un millier d’attaques DDoS basées sur la technique HTTP/2 Rapid Reset, dont 184 attaques qui ont dépassé son précédent record (71 millions de requêtes par seconde).

Comment se protéger ?

Il faut s’attendre à ce que des mises à jour soient publiées par les mainteneurs des projets open source et les éditeurs de produits commerciaux afin que l’on puisse se protéger de la vulnérabilité CVE-2023-44487 présente dans le protocole HTTP/2.

Dans son rapport, Google précise : “Si vous gérez ou exploitez votre propre serveur compatible HTTP/2 (open source ou commercial), vous devez immédiatement appliquer un correctif du fournisseur concerné lorsqu’il est disponible.”

– Source:

https://www.it-connect.fr/attaques-ddos-records-la-technique-http-2-rapid-reset-exploite-une-faille-zero-day/

Ashura

@Violence a dit dans Google a atténué la plus grande attaque DDoS jamais enregistrée :

Cloudflare indique que l’attaque DDoS avec 201 millions de requêtes par seconde a impliqué un petit botnet de 20 000 machines

Ha ouai c’est dingue je pensait qu’ils utilisaient des millions de machines, la c’est ouf d’arriver à 400 millions avec seulement si peu

Avec un peu de perfectionnement ça risque de faire mal sous peu, surtout que le nombres d’objets connectés non protégés grandit de jours en jours

Rapace

@Violence a dit dans Google a atténué la plus grande attaque DDoS jamais enregistrée :

c’est peu quand on sait qu’il existe des botnets avec plusieurs centaines de milliers ou millions de machines zombies…!

si tout le monde utilisait un antivirus digne de ce nom et/ou un pare-feu efficace on n’en serait pas là… car si je comprends bien ce sont des pc infectés qui envoient les requêtes et non les hackeurs eux-même ^^

Ashura

@Rapace c’est le principe d’un botnet, infecter une machine ou objet connecté pour s’en servir comme “lanceur” de paquet