Les attaques DDoS sont aux hébergeurs et fournisseurs IT ce que les bouchons sont aux automobilistes : une véritable galère. Lancées en masse, elles ont pour but de saturer complètement le trafic réseau et gravement impacter la disponibilité des services et sites web. Et personne n'y échappe, surtout pas les plus grandes entreprises IT de la planète, d'AWS à Microsoft en passant par Akamai. L'hébergeur web et fournisseur cloud roubaisien OVH n'est bien sûr pas épargné, cela avait le cas par exemple en septembre 2016, avec toutefois une virulence qui a dernièrement atteint des sommets.
"Au cours des 18 derniers mois, et plus particulièrement au cours des 6 derniers mois, nous avons constaté une forte augmentation des attaques DDoS utilisant des débits de paquets supérieurs à 100 Mpps. Nous sommes passés de quelques attaques par semaine à des dizaines, voire des centaines par semaine", a expliqué OVH dans un billet de blog. "Au début de l'année 2024, nos infrastructures ont dû faire face à plusieurs attaques de plus de 500 Mpps, dont une culminant à 620 Mpps. En avril 2024, nous avons même atténué une attaque DDoS record atteignant 840 Mpps, juste au-dessus du précédent record rapporté par Akamai." En 2022, le volume atteint en termes de millions de paquets par seconde (Mpps) chez le spécialiste en réseaux de diffusion de contenu (CDN) avait en effet toisé les 660.
Deux-tiers des paquets envoyés depuis seulement 4 points de présence
OVH explique que cette dernière attaque DDoS a été constituée à 99 % de TCP ACK (à savoir des paquets TCP accusant réception d'un message ou d'une série de paquets), provenant d'environ 5 000 adresses IP sources. Le 1 % ayant été par réflexion DNS utilisant environ 15 000 serveurs DNS pour amplifier le trafic. "Alors que l'attaque était distribuée dans le monde entier, 2/3 des paquets totaux sont entrés à partir de seulement 4 PoP, tous situés aux États-Unis, dont 3 sur la côte ouest", a expliqué OVH. "Cela met en évidence la capacité de l'adversaire à envoyer un débit de paquets élevé par le biais de quelques pairs seulement, ce qui peut s'avérer très problématique [...] Bien que nous ayons la capacité locale d'atténuer cette attaque, nous envisagerons d'ajuster le modèle général de dimensionnement et de distribution de nos infrastructures anti-DDoS pour nous assurer de pouvoir faire face à de futures (et probablement plus importantes) attaques, tout comme nous le faisons aujourd'hui."
Dans le cadre de son analyse, le fournisseur a par ailleurs déterminé que 70 adresses IP sont parvenues à émettre chacune jusqu'à 14,8 Mpps, appartenant très largement à des systèmes autonomes (AS) localisés en Asie (75 %), loin devant l'Europe (10 %), l'Amérique du Sud (6 %), l'Amérique du Nord (5 %), le Moyen-Orient (3 %) et l'Afrique (1 %). "Les AS identifiés semblent appartenir principalement à des fournisseurs d'accès Internet professionnels ou à des fournisseurs de connectivité cloud", précise en outre OVH. La plupart des terminaux utilisés pour cette attaque DDoS massive ont été des routeurs MikroTik exposés sur Internet et dont l'OS a été miné par plusieurs failles critiques ces dernières années. "Nous avons cependant été surpris de découvrir que des terminaux dotés d'un micrologiciel récent étaient potentiellement compromis. À notre connaissance, aucune vulnérabilité affectant RouterOS 6.49.14 et les versions ultérieures n'a été publiée jusqu'à présent. Une explication possible serait que ces matériels aient été corrigés après leur compromission."