Lors de la rédaction du présent article, LiveJournal, l'une des principales plates-formes de blog a été mise hors service en raison d'une attaque DDoS.
Selon des statistiques diffusées par le projet WHID (Web Hacking Incident Database, base de données des incidents de piratage Web) en mars 2011 (http://projects.webappsec.org/Web-Hacking-Incident-Database) portant sur le second semestre 2010, les attaques DDoS sont aujourd'hui si répandues qu'elles figurent désormais en tête des classements tels que les principaux risques liés aux applications Web et les principales méthodes d'attaque ; la mise hors service étant la première conséquence des attaques.
LiveJournal a déjà fait l'objet de nombreuses fois d'attaques DDoS, en grande partie à cause de la divergence d'opinions politiques entre certains blogs hébergés sur LiveJournal et celles des hackers.
Cette fois-ci l'attaque a cependant ciblé simultanément plusieurs des blogs les plus populaires de LiveJournal, laissant penser que l'objectif de ce genre d'attaques visait à mettre hors service l'ensemble de l'infrastructure de blog, et non un seul blog.
LiveJournal a initialement annoncé l'émergence de ces nouvelles attaques le 31 mars, suite à l'attaque survenue le 30 mars aux alentours de 12 h UTC.
Ilya Dronov, directeur Développement produits à SUP (propriétaire de LiveJournal), a diffusé des statistiques intéressantes dès le premier jour de ces attaques sur son blog (http://igrick.livejournal.com/) :
• Temps de réponse : 7 heures ont été nécessaires pour contrer l'attaque
• Caractéristiques de l'attaque :
o Le nombre de sessions simultanées a atteint le chiffre de 1,2 million, contre 50 000 en temps normal
o Le débit des requêtes HTTP était dix fois plus élevé qu'en temps normal
o Le trafic sortant a atteint 2 Gbps, contre 400 Mbps en temps normal
• Origine de l'attaque : un échantillon de 1000 adresses IP attaquées a montré que la majorité des sources de l'attaque provenait de la région APAC
• Lors de l'attaque, seules 30 % des requêtes HTTP ont pu être satisfaites (requêtes légitimes et liées à l'attaque)
Dans un autre article décrivant les attaques ultérieures du 4 avril, Ilya Dronov écrit que contrairement aux attaques du 30 mars qui comprenaient principalement des inondations de réseau ou d'applications telles que TCP SYN et HTTP, les attaques du 4 avril ont été si intenses que leur objectif principal n'était pas d'interrompre le site Web mais l'équipement réseau et si possible le lien lui-même.
Plusieurs rapports du site ont été téléchargés depuis par différents utilisateurs en ligne.
D'autres plates-formes de blogs populaires ne sont pas non plus étrangères à ce type d'attaques : WordPress.com, desservant plus de 18 millions de sites Web et 30 millions d'éditeurs et couvrant environ 10 % de tous les sites Web du monde (http://techcrunch.com/2010/12/09/automattic-hits-300-million-unique-visitors-roughly-10-million-in-revenues/), a été la cible d'une autre attaque DDoS intense ayant débuté le 3 mars, engendrant des conditions de déni de service rendant les blogs WordPress inutilisables.
Suite à l'analyse des informations publiées sur ces attaques (http://techcrunch.com/2011/03/03/wordpress-com-suffers-major-ddos-attack/, http://techcrunch.com/2011/03/04/wordpress/), nous pouvons affirmer ceci :
• « Il s'agit de l'attaque la plus importante et la plus soutenue à laquelle nous avons été confrontés depuis notre création il y a 6 ans », explique Matt Mullenweg, fondateur de WordPress
• Caractéristiques de l'attaque : plusieurs Gbps et des dizaines de millions de PPS (paquets par seconde)
• Origine de l'attaque : 98 % des attaques provenant de Chine et un faible pourcentage provenant du Japon et de la Corée
• Motif : pas nécessairement politique, probablement financier : « il ne semble pas que les attaques étaient d'origine politique, mais plus orientées pour nuire commercialement étant donné le site ciblé », précise Matt Mullenweg.
Matt Mullenweg illustre certaines des expériences courantes vécues lors d'une attaque DDoS :
De multiples attaques sont combinées, engendrant toujours plus de contraintes sur tout matériel tentant d'y faire face
Les attaques s'adaptent au fil du temps afin de trouver les points faibles d'une cible et de faire durer la condition de déni de service
Des réseaux de bots sont utilisés, augmentant la capacité et la polyvalence des attaques par rapport à celle d'un seul hacker, ce qui rend la défense plus difficile par de simples mécanismes de limitation du débit et de filtrage
Les campagnes d'attaque durent des jours et parfois des semaines, et surviennent par vagues.
La protection d'une infrastructure de blog ne diffère pas de la protection d'autres services en ligne, toutefois se défendre contre des attaques DDoS n'est pas simple et se défendre de manière efficace implique diverses exigences :
Une technologie anti-DDoS
o Efficacité des parades : les attaques DDoS haut débit doivent être contrées par du matériel spécialisé pour résister à la charge de l'attaque tout en autorisant le trafic légitime, comme des solutions anti-DDoS exploitant des moteurs anti-DDoS reposant sur ASIC
o Réduction du temps de réaction : la technologie d'analyse comportementale du réseau (NBA) devrait être exploitée pour distinguer automatiquement et précisément le trafic d'attaque du trafic légitime, pour toutes les couches notamment la couche 7 (http par exemple)
o Blocage des vecteurs multiples d'attaque : l'exploitation des technologies NBA, IPS et DoS au sein d'une solution anti-DDoS unique garantit qu'aucune attaque n'est négligée lors d'une campagne d'attaque à plusieurs vecteurs.
Des services anti-DDoS
o Réponse aux urgences : l'utilisation d'une technologie avancée anti-DDoS doit être appuyée par des ingénieurs en sécurité fiables, expérimentés et spécialisés, disposant de solides connaissances dans le domaine de la parade aux attaques DDoS et de l'exécution de la solution anti-DDoS choisie. Un service permanent et centralisé de ce type (par exemple proposé par le fournisseur de la solution anti-DDoS) peut garantir le facteur humain nécessaire pour contrer les attaques DDoS aussi efficacement que possible.
Radware en bref
Radware (code NASDAQ : RDWR), leader mondial des solutions intégrées d'application delivery, assure la disponibilité, la haute performance et la sécurité d'applications critiques pour plus de 10 000 entreprises et opérateurs dans le monde. Avec APSolute®, sa suite logicielle complète intégrant des solutions intelligentes d'application delivery et de sécurité réseaux, Radware permet aux entreprises de tous les secteurs de piloter la productivité de leur activité, d'améliorer leur profitabilité et de réduire les coûts d'exploitation et d'infrastructure informatiques, en faisant de leurs réseaux « des réseaux orientés métier ». Pour en savoir plus, consultez www.radware.com.