Les attaques DDoS ciblant les hyperscalers montent en puissance. Après celle qui a frappée AWS en 2020 (2,3 Tbps) et Microsoft en 2021 (2,4 Tbps), c'est de nouveau la firme de Redmond qui a été dans le collimateur des pirates. Cette fois-ci, l'intensité de l'attaque par déni de service distribué a atteint des sommets, avec un record de 3,47 Tbps. « En novembre, Microsoft a atténué une attaque DDoS avec un débit de 3,47 Tbps et un débit de paquets de 340 millions de paquets par seconde, ciblant un client Azure en Asie. Nous pensons qu'il s'agit de la plus grande attaque jamais signalée dans l'histoire », a indiqué Microsoft.
L'éditeur précise que cette attaque émanait de plus de 10 000 sources dans plusieurs pays à travers le monde dont les États-Unis, la Chine, la Corée du Sud, la Russie, la Thaïlande, l'Inde, le Vietnam, l'Iran, l'Indonésie et Taïwan. Le vecteur d'attaque a consisté à saturer le trafic avec des requêtes UDP sur le port 80 à l'aide des protocoles SSDP, CLDAP, NTP et DNS. Contrairement à de précédentes attaques, cette DDoS a consisté en un seul pic, pour une durée d'environ 15 minutes.
Nombre d'attaques DDoS (en milliers) ayant visé Microsoft au second semestre 2021. (crédit : Microsoft)
Une nouvelle technique de manipulation TCP observée
Au second semestre 2021, Microsoft a atténué en moyenne 1 955 attaques par jour, en hausse de plus de 40 % par rapport au premier semestre 2021. Le nombre maximal d'attaques par jour enregistré était de 4 296 attaques le 10 août 2021. Rien que sur le deuxième semestre de l'année dernière, l'éditeur indique avoir contré 359 713 attaques uniques. « Pendant la période des fêtes d'octobre à décembre, nous nous sommes défendus contre les nouvelles attaques d'inondation TCP PUSH-ACK qui dominaient dans la région de l'Asie de l'Est, notamment à Hong Kong, en Corée du Sud et au Japon », explique également Microsoft. « Nous avons observé une nouvelle technique de manipulation TCP utilisée par les attaquants pour vider des charges utiles volumineuses, selon laquelle, dans cette variante d'attaque, la longueur de l'option TCP est plus longue que l'en-tête de l'option lui-même ».
Commentaire