Lors d'une attaque par déni de service distribué (DDoS), plusieurs appareils sont utilisés pour saturer un serveur ciblé de requêtes et entraîner l'arrêt des applications web. Certaines des attaques DDoS les plus volumineuses ont fait la une des actualités consacrées à la technologie.
Cet article s'articule autour des points suivants :
Contenu associé
Déni de service
DDoS : mode d'emploi
L'univers du botnet DDoS
Internet des objets (IdO)
Routage vers un trou noir
Recevez un récapitulatif mensuel des tendances Internet les plus populaires !
Copier le lien de l'article
La plus vaste attaque enregistrée DDoS à ce jour a eu lieu en septembre 2017. L'attaque visait les services de Google et a atteint un volume de 2,54 Tb/s. Google Cloud a révélé cette dernière en octobre 2020.
Les pirates ont envoyé des paquets usurpés à 180 000 serveurs web, qui ont à leur tour répondu à Google. Cette attaque ne constituait toutefois pas un incident isolé. En effet, ses auteurs avaient lancé plusieurs attaques DDoS contre l'infrastructure de Google au cours des six mois précédents.
AWS a déclaré avoir atténué une immense attaque DDoS en février 2020. Au plus fort de cette attaque, le trafic entrant a atteint 2,3 térabits par seconde (Tb/s). AWS n'a pas révélé lequel de ses clients était la cible de l'attaque.
Les responsables de l'attaque sont passés par des serveurs web CLDAP (Connection-less Lightweight Directory Access Protocol) compromis. Conçu pour les répertoires utilisateur, le protocole CLDAP constitue une alternative à LDAP (une ancienne version du protocole) et a servi de base au lancement de plusieurs attaques DDoS ces dernières années.
L'une des plus grandes attaques DDoS vérifiables jamais enregistrées visait GitHub, un célèbre service de gestion de code en ligne utilisé par des millions de développeurs. Cette attaque a atteint 1,3 Tb/s et envoyé des paquets au rythme de 126,9 millions par seconde.
L'attaque contre GitHub constituait une attaque DDoS memcached et n'impliquait donc aucun botnet. À la place, les auteurs de l'attaque ont tiré parti de l'effet d'amplification d'un célèbre système de mise en cache des bases de données nommé memcached. En saturant les serveurs memcached de requêtes usurpées, les pirates ont pu multiplier la puissance de leur attaque par un facteur d'environ 50 000.
Par chance, GitHub utilisait un service de protection contre les attaques DDoS, qui fut automatiquement alerté dans les 10 minutes suivant le début de l'attaque. En déclenchant le processus d'atténuation, l'alerte a ainsi permis à GitHub d'arrêter l'attaque rapidement. Cette formidable attaque DDoS n'aura duré au total qu'une vingtaine de minutes.
Dyn, un important fournisseur DNS, a fait les frais d'une autre attaque DDoS particulièrement volumineuse en octobre 2016. Cette attaque s'est révélée dévastatrice et a perturbé le fonctionnement de nombreux sites importants, notamment AirBnB, Netflix, PayPal, Visa, Amazon, The New York Times, Reddit et GitHub. L'attaque a été conduite au moyen d'un logiciel malveillant nommé Mirai. Mirai établit un botnet d'équipements connectés dans le cadre de l'Internet des objets (IdO), comme les appareils photo, les téléviseurs connectés, les radios, les imprimantes, voire les babyphones. Afin de générer le trafic de l'attaque, les appareils compromis reçoivent tous (par programmation) l'instruction d'envoyer des requêtes à une victime unique.
Heureusement, Dyn a pu remédier à l'attaque en une journée, mais la raison motivant l'attaque n'a jamais été révélée. Certains groupes d'hacktivistes ont revendiqué la responsabilité de l'attaque, en déclarant l'avoir lancée en réponse à l'interdiction pour Julian Assange (le fondateur de WikiLeaks) d'accéder à Internet en Équateur. Aucune preuve n'est cependant venue étayer cette déclaration et certains soupçons portent également à croire que l'attaque a été lancée par un joueur mécontent.
Déjà enregistrée comme la plus volumineuse de tous les temps à l'époque, cette attaque DDoS visait les services de GitHub. Motivée par des raisons politiques, cette attaque a duré plusieurs jours et s'est adaptée aux stratégies d'atténuation des attaques DDoS mises en œuvre. Le trafic DDoS provenait de Chine et ciblait spécifiquement les URL de deux projets GitHub destinés à contourner la censure de l'État chinois. On suppose que l'intention à l'origine de l'attaque consistait à tenter de contraindre GitHub à abandonner ces projets.
Le trafic de l'attaque a été généré en injectant du code JavaScript au sein des navigateurs de tous les usagers se rendant sur Baidu, le moteur de recherche le plus populaire en Chine. D'autres sites utilisant les services d'analyse de Baidu injectaient également ce code malveillant, qui forçait les navigateurs infectés à envoyer des requêtes HTTP aux pages GitHub ciblées. Après l'attaque, il fut déterminé que le code malveillant ne provenait pas de Baidu, mais qu'il était ajouté par un service intermédiaire.
L'attaque lancée en 2013 contre Spamhaus, une organisation de lutte contre le spam et les activités liées au spam, figure également parmi les plus volumineuses attaques jamais enregistrées à son époque. Responsable du filtrage de 80 % de l'ensemble des spams, Spamhaus constitue une cible très prisée des individus qui aimeraient voir leurs spams atteindre les destinataires prévus.
L'attaque a redirigé le trafic vers Spamhaus à un débit de 300 Gb/s. L'organisation a souscrit une offre Cloudflare lorsque l'attaque a commencé et le service de protection anti-DDoS de Cloudflare a atténué cette dernière. Les pirates ont réagi en s'attaquant à certains points d'échange Internet et fournisseurs de bande passante, afin de tenter de neutraliser Cloudflare. Cette attaque n'a pas atteint son objectif, mais a entraîné d'importantes perturbations sur LINX, le point d'échange Internet de Londres. Le principal coupable de l'attaque s'est avéré être un jeune « pirate informatique à louer » britannique, payé pour lancer cette attaque DDoS.
Consultez le blog de Cloudflare pour en savoir plus sur cette attaque et découvrir comment elle a été atténuée.
En 2000, un pirate informatique de 15 ans connu sous le nom de « Mafiaboy » a provoqué l'arrêt de plusieurs grands sites web, parmi lesquels CNN, Dell, E-Trade, eBay et Yahoo, le moteur de recherche le plus populaire du monde à l'époque. Cette attaque a eu des conséquences dévastatrices, en engendrant notamment un véritable chaos sur les marchés financiers.
Mafiaboy, qui s'est plus tard révélé être un lycéen du nom de Michael Calce, a coordonné l'attaque en compromettant les réseaux de plusieurs universités, avant d'utiliser leurs serveurs pour lancer son attaque DDoS. Les répercussions de cette attaque ont directement conduit à la création de nombreuses lois actuellement en vigueur en matière de cybercriminalité.
En avril 2007, la nation estonienne a été frappée par une immense attaque DDoS ciblant les services gouvernementaux, les institutions financières et les médias. Cette attaque s'est révélée particulièrement destructrice, car le gouvernement estonien (l'un des premiers à adopter le gouvernement en ligne) était presque entièrement dématérialisé à l'époque. En effet, même les élections nationales se déroulaient en ligne.
Considérée par beaucoup comme le premier acte de guerre informatique, cette attaque a été lancée en réponse à un conflit politique avec la Russie autour du déplacement du « soldat de bronze de Tallinn », un monument commémoratif de la Seconde Guerre mondiale. Un ressortissant estonien de Russie fut arrêté après l'attaque, mais le gouvernement russe, soupçonné d'être impliqué, n'a pas autorisé les autorités estoniennes à poursuivre leur enquête en Russie. Cet événement éprouvant a conduit à la création de lois internationales en matière de guerre informatique.
Tout dépend de la capacité de leurs réseaux, c'est-à-dire leur capacité à absorber ou non la quantité de trafic générée par l'attaque DDoS, tout en continuant à fonctionner. De nos jours, bon nombre de fournisseurs de solutions de protection et d'atténuation des attaques DDoS disposent d'une capacité réseau suffisante pour ce faire.
Si l'attaque DDoS la plus massive jamais traitée par Cloudflare atteignait un volume de 1,2 Tbps, le réseau Cloudflare dispose quant à lui d'une capacité de réseau de 228 Tbps, soit une valeur très nettement supérieure aux plus vastes attaques DDoS jamais enregistrées. Cloudflare a également dû faire face à des attaques DDoS aux débits de paquets et taux de requêtes HTTP extrêmement élevés. En juin 2020, Cloudflare a ainsi atténué une attaque DDoS de 754 millions de paquets par seconde. En août 2021, Cloudflare a atténué une attaque de 17,2 millions de paquets par seconde.
Il est important de garder à l'esprit que la grande majorité des attaques DDoS ne sont pas aussi volumineuses que les attaques présentées dans cet article. Les études réalisées par Cloudflare montrent que la plupart des attaques DDoS n'excèdent pas 10 Gb/s. Toutes ces attaques, même celles de moindre ampleur, se révèlent cependant capables d'entraîner l'interruption des applications ou des sites web de manière prolongée en l'absence de mesures d'atténuation des attaques DDoS.
Service commercial
À propos des attaques DDoS
Attaques DDoS
Outils d'attaque DDoS
Glossaire DDoS
Navigation dans le centre d’apprentissage