Arbor Networks : publication des données mondiales sur les attaques DDoS pour le premier semestre 2016
Arbor Networks Inc., division sécurité de NETSCOUT (NASDAQ : NTCT), publie aujourd’hui les données mondiales sur les attaques DDoS pour les six premiers mois de l’année 2016 ; des données qui témoignent de la hausse ininterrompue de la taille et de la fréquence des attaques.
Les données d’Arbor sont réunies par son observatoire ATLAS TM, un partenariat collaboratif réunissant plus de 330 de ses opérateurs clients qui partagent des données anonymes de trafic avec Arbor afin d’offrir une vue globale complète du trafic et des menaces à l’échelle mondiale. Les données du projet ATLAS alimentent Digital Attack Map, un site créé en coopération avec Google Ideas dans le but de cartographier les attaques au niveau mondial. Elles ont également été récemment utilisées dans le rapport Visual Networking Index Report de Cisco et le rapport Data Breach Incident Report de Verizon.
ACTIVITÉ DDoS MONDIALE
Les attaques DDoS sont encore aujourd’hui le type d’attaque le plus communément utilisé en raison de la grande disponibilité d’outils gratuits et de services en ligne peu coûteux qui permettent à toute personne insatisfaite disposant d’une connexion à Internet de lancer une attaque. Ce phénomène a entrainé une augmentation de la fréquence, de la taille et de la complexité des attaques au cours des dernières années.
– L’observatoire ATLAS a identifié une moyenne de 124 000 événements par semaine au cours des 18 derniers mois.
– La taille de l’attaque la plus importante a augmenté de 73 % par rapport à 2015, pour atteindre 579 Gbit/s.
– 274 attaques de plus de 100 Gbit/s ont été observées au cours du premier semestre 2016, contre 223 pour l’ensemble de l’année 2015.
– 46 attaques dépassant 200 Gbit/s ont été détectées pendant le premier semestre 2016, contre 16 pour l’intégralité de l’année 2015.
– Les États-Unis, la France et la Grande-Bretagne sont les principales cibles des attaques de plus de 10 Gbit/s.
Comme l’a récemment publié l’équipe ASERT (Arbor Security Engineering & Research Team), les attaques DDoS de grande ampleur n’impliquent pas nécessairement l’utilisation de techniques d’amplification par réflexion. LizardStresser, un botnet IoT, a été utilisé pour lancer des attaques massives de 400 Gbit/s ciblant des sites de jeux en ligne dans le monde entier, des institutions financières brésiliennes, des FAI et des institutions gouvernementales. Selon l’équipe ASERT, les paquets des attaques ne semblent pas provenir d’adresses sources usurpées, et aucun protocole d’amplification basé sur UDP, tel que NTP ou SNMP, n’a été utilisé.
LORSQUE LA MOYENNE DEVIENT PROBLÉMATIQUE
Une attaque DDoS de 1 Gbit/s est suffisamment puissante pour saturer complètement l’accès Internet de la plupart des organismes.
– La taille moyenne des attaques au premier semestre 2016 s’élevait à 986 Mbit/s, soit une hausse de 30 % par rapport à 2015.
– Les projections s’établissent à 1,15 Gbit/s d’ici à la fin de l’année 2016.
« Les données soulignent la nécessité de mettre en oeuvre des moyens de défense anti-DDoS hybrides ou multicouches », indique Darren Anstee, expert en chef de la sécurité chez Arbor Networks. « Les attaques sur large bande passante peuvent uniquement être contrées dans le cloud, à l’écart de la cible visée. Malgré la croissance considérable de la taille des attaques, 80 % de ces dernières sont néanmoins encore inférieures à 1 Gbit/s et 90 % d’entre elles durent moins d’une heure. Une protection sur site permet de réagir rapidement. Elle est indispensable contre les attaques « low and slow » qui touchent la couche applicative et les attaques d’épuisement qui visent l’infrastructure, notamment les Firewalls et les IPS. »
L’HEURE EST À LA RÉFLEXION
L’amplification par réflexion est une technique qui permet aux auteurs d’une attaque d’amplifier le volume du trafic généré tout en masquant les sources. Ainsi, la majorité des récentes attaques de grande ampleur s’appuient sur cette technique en utilisant des serveurs DNS, des protocoles NTP (Network Time Protocol) et des protocoles SSDP (Chargen and Simple Service Discovery Protocol). Pour le premier semestre 2016, les conclusions sont les suivantes :
– Le protocole DNS est le protocole le plus utilisé en 2016 et prend ainsi la place des protocoles NTP et SSDP, qui prédominaient en 2015.
– La taille moyenne des attaques DNS d’amplification par réflexion augmente fortement.
– La taille maximale observée d’une attaque d’amplification par réflexion au cours des 6 premiers mois de l’année 2016 s’est élevée à 480 Gbit/s (DNS).