Lors d'une attaque par déni de service distribué (DDoS), plusieurs appareils sont utilisés pour saturer un serveur ciblé de requêtes et entraîner l'arrêt des applications web. Certaines des attaques DDoS les plus volumineuses ont fait la une des actualités consacrées à la technologie.
Cet article s'articule autour des points suivants :
Contenu associé
L'attaque par déni de service
Comment DDoS | Outils d’attaque DoS et DDoS
L'univers du botnet DDoS
Qu'est-ce que l'Internet des objets (IdO) ?
Qu'est-ce que le routage blackhole DDoS ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
En octobre 2024, Cloudflare a atténué la plus grande attaque par déni de service distribué (DDoS) jamais enregistrée, une attaque qui a atteint 5,6 térabits par seconde (Tb/s) et 666 millions de paquets par seconde à son pic. L'attaque a duré environ 80 secondes et s'inscrivait dans le cadre d'une campagne persistante d'attaques DDoS hyper-volumétriques plus vaste. Le réseau Cloudflare a automatiquement atténué l'attaque de 5,6 Tb/s et toutes les autres attaques faisant partie de la campagne, protégeant ainsi les clients Cloudflare.
En octobre 2023, Google a déclaré avoir atténué la plus grande attaque par déni de service distribué (DDoS) jamais enregistrée, une attaque HTTP/2 « Rapid Reset » dont le pic a atteint 398 millions de requêtes par seconde (R/S).
HTTP/2 Rapid Reset exploite une faille dans le protocole HTTP/2 qui lui permet de lancer des attaques DDoS. Le protocole HTTP/2 est essentiel à la manière dont les navigateurs interagissent avec les sites web : il permet aux navigateurs de demander du texte, des images et d'autres contenus à des sites. Dans le cadre d'une attaque HTTP/2 Rapid Reset, des acteurs malveillants transmettent un grand nombre de requêtes à un site, puis les annulent immédiatement. Ils répètent ce processus de requête et d'annulation, dans l'espoir de saturer le site web et de le mettre hors ligne.
Cloudflare a contribué à découvrir ce type de menace et a atténué des attaques record, comme celles qui dépassaient les 201 r/s (voir ci-dessous).
En août 2023, Cloudflare a atténué des milliers d'attaques DDoS HTTP hyper-volumétriques, dont 89 dépassaient les 100 millions de r/s. L'attaque la plus massive a culminé à 201 millions de r/s, soit un chiffre trois fois plus élevé que celui de l'attaque la plus volumineuse jamais enregistrée jusqu'alors (71 millions de r/s, enregistrée en février 2023).
Google a fait état d'un client Google Cloud qui avait été pris pour cible par une attaque DDoS HTTPS culminant à 46 millions de requêtes par seconde. L'attaque provenait de plus de 5 000 sources réparties dans plus de 130 pays.
En novembre 2021, Azure a subi ce qui était à l'époque l'attaque DDoS la plus volumineuse jamais enregistrée. L'attaque a atteint un débit de 3,47 térabits par seconde (Tb/s). Selon Microsoft, elle provenait d'environ 10 000 sources réparties dans au moins 10 pays. L'entreprise a précisé qu'elle avait également atténué deux autres attaques cette même année, avec un débit de plus de 2,5 Tb/s.
En 2017, une attaque visant les services Google Cloud a atteint un volume de 2,54 Tb/s. Google a révélé cette dernière en octobre 2020.
Les acteurs malveillants ont envoyé des paquets usurpés à 180 000 serveurs web, qui ont à leur tour répondu à Google. Cette attaque ne constituait toutefois pas un incident isolé. En effet, ses auteurs avaient lancé plusieurs attaques DDoS contre l'infrastructure de Google au cours des six mois précédents.
AWS a déclaré avoir atténué une immense attaque DDoS en février 2020. Au plus fort de cette attaque, le trafic entrant a atteint 2,3 térabits par seconde (Tb/s). AWS n'a pas révélé lequel de ses clients était la cible de l'attaque.
Les responsables de l'attaque sont passés par des serveurs web CLDAP (Connection-less Lightweight Directory Access Protocol) compromis. Conçu pour les répertoires utilisateur, le protocole CLDAP constitue une alternative à LDAP (une ancienne version du protocole) et a servi de base au lancement de plusieurs attaques DDoS ces dernières années.
En 2018, une attaque DDoS de grande ampleur a ciblé GitHub, un célèbre service de gestion de code en ligne utilisé par des millions de développeurs. Cette attaque a atteint 1,3 Tb/s et envoyé des paquets au rythme de 126,9 millions par seconde.
L'attaque contre GitHub n'impliquait pas de botnets. Il s'agissait d'une attaque DDoS memcached : les attaquants ont tiré parti de l'effet d'amplification d'un système de mise en cache de base de données populaire appelé memcached. En saturant les serveurs memcached de requêtes usurpées, les acteurs malveillants ont pu amplifier la puissance de leur attaque par un facteur d'environ 50 000.
Par chance, GitHub utilisait un service de protection contre les attaques DDoS, qui fut automatiquement alerté dans les 10 minutes suivant le début de l'attaque. En déclenchant le processus d'atténuation, l'alerte a ainsi permis à GitHub d'arrêter l'attaque rapidement. Cette formidable attaque DDoS n'aura duré au total qu'une vingtaine de minutes.
Un important fournisseur DNS, a fait les frais d'une autre attaque DDoS particulièrement volumineuse en octobre 2016. Cette attaque s'est révélée dévastatrice et a perturbé le fonctionnement de nombreux sites importants, notamment AirBnB, Netflix, PayPal, Visa, Amazon, The New York Times, Reddit et GitHub. L'attaque a été conduite au moyen d'un logiciel malveillant nommé Mirai. Mirai établit un botnet d'équipements connectés dans le cadre de l'Internet des objets (IoT), comme les appareils photo, les téléviseurs connectés, les radios, les imprimantes, voire les babyphones. Afin de générer le trafic de l'attaque, les appareils compromis reçoivent tous (par programmation) l'instruction d'envoyer des requêtes à une victime unique.
Heureusement, Dyn a pu remédier à l'attaque en une journée, mais la raison motivant l'attaque n'a jamais été révélée. Certains groupes d'hacktivistes ont revendiqué la responsabilité de l'attaque, en déclarant l'avoir lancée en réponse à l'interdiction pour Julian Assange (le fondateur de WikiLeaks) d'accéder à Internet en Équateur. Aucune preuve n'est cependant venue étayer cette déclaration et certains soupçons portent également à croire que l'attaque a été lancée par un joueur mécontent.
En 2015, GitHub avait subi une attaque DDoS enregistrée comme la plus volumineuse de tous les temps à l'époque. Motivée par des raisons politiques, cette attaque a duré plusieurs jours et s'est adaptée aux stratégies d'atténuation des attaques DDoS mises en œuvre. Le trafic DDoS provenait de Chine et ciblait spécifiquement les URL de deux projets GitHub destinés à contourner la censure de l'État chinois. On suppose que l'intention à l'origine de l'attaque consistait à tenter de contraindre GitHub à abandonner ces projets.
Le trafic de l'attaque a été généré par injection de code JavaScript au sein des navigateurs de tous les usagers se rendant sur Baidu, le moteur de recherche le plus populaire en Chine. D'autres sites utilisant les services d'analyse de Baidu injectaient également ce code malveillant, qui forçait les navigateurs infectés à envoyer des requêtes HTTP aux pages GitHub ciblées. Après l'attaque, il a été déterminé que le code malveillant ne provenait pas de Baidu, mais qu'il était ajouté par un service intermédiaire.
En 2013, une attaque massive a été lancée contre Spamhaus, une organisation de lutte contre les e-mails indésirables et les activités qui s'y rapportent. Responsable du filtrage de 80 % de l'ensemble des courriers indésirables, Spamhaus constitue une cible très prisée des individus qui aimeraient voir leurs courriers indésirables atteindre les destinataires prévus.
L'attaque a redirigé le trafic vers Spamhaus à un débit de 300 Gb/s. L'organisation a souscrit une offre Cloudflare lorsque l'attaque a commencé. et le service de protection anti-DDoS de Cloudflare a atténué cette dernière. Les acteurs malveillants ont réagi en s'attaquant à certains points d'échange Internet et fournisseurs de bande passante, dans le but de tenter de neutraliser Cloudflare. Cette attaque n'a pas atteint son objectif, mais a entraîné d'importantes perturbations sur LINX, le point d'échange Internet de Londres. Le principal coupable de l'attaque s'est avéré être un jeune « pirate informatique à louer » britannique, payé pour lancer cette attaque DDoS.
Consultez le blog de Cloudflare pour en savoir plus sur cette attaque et découvrir comment elle a été atténuée.
En 2000, un acteur malveillant, connu sous le nom de Mafiaboy, a fait fermé plusieurs sites web majeurs, notamment ceux de CNN, Dell, E-Trade, eBay et Yahoo, qui était à cette époque le moteur de recherche le plus populaire au monde. Cette attaque a eu des conséquences dévastatrices, notamment en créant le chaos sur le marché boursier.
Mafiaboy, qui s'est plus tard révélé être un lycéen de 15 ans du nom de Michael Calce, a coordonné l'attaque en compromettant les réseaux de plusieurs universités, avant d'utiliser leurs serveurs pour lancer son attaque DDoS. Les répercussions de cette attaque ont directement conduit à la création de nombreuses lois actuellement en vigueur en matière de cybercriminalité.
En avril 2007, l'Estonie a été frappée par une immense attaque DDoS ciblant les services gouvernementaux, les institutions financières et les médias. Cette attaque s'est révélée particulièrement destructrice, car le gouvernement estonien (l'un des premiers à adopter le gouvernement en ligne) était presque entièrement dématérialisé à l'époque. En effet, même les élections nationales se déroulaient en ligne.
Considérée par beaucoup comme le premier acte de guerre informatique, cette attaque a été lancée en réponse à un conflit politique avec la Russie autour du déplacement du « soldat de bronze de Tallinn », un monument commémoratif de la Seconde Guerre mondiale. Un ressortissant estonien de Russie a été arrêté après l'attaque, mais le gouvernement russe, soupçonné d'être impliqué, n'a pas autorisé les autorités estoniennes à poursuivre leur enquête en Russie. Cet événement éprouvant a conduit à la rédaction de lois internationales en matière de guerre informatique.
La capacité des fournisseurs de protection contre les attaques DDoS à atténuer ces attaques de grande ampleur dépend de leur capacité réseau. Certains fournisseurs disposent, en réalité, d'une capacité réseau suffisante pour absorber la quantité de trafic générée par l'attaque DDoS, tout en continuant à fonctionner. Cloudflare dispose d'une capacité réseau de 388 Tbps, soit une valeur très nettement supérieure aux plus vastes attaques DDoS jamais enregistrées.
Cloudflare a également dû faire face à des attaques DDoS caractérisées par des débits de paquets et des taux de requêtes HTTP extrêmement élevés. En juin 2020, par exemple, Cloudflare a atténué une attaque DDoS à 754 millions de paquets par seconde. En août 2023, Cloudflare a atténué des attaques dépassant les 201 millions de r/s. Détail qui a son importance, Cloudflare les protège également contre les attaques HTTP/2 Rapid Reset.
La grande majorité des attaques DDoS ne sont pas aussi volumineuses que les attaques présentées ci-dessus. En réalité, la plupart des attaques DDoS n'excèdent pas 1 Gb/s. Toutes ces attaques, même celles de moindre ampleur, se révèlent cependant capables d'entraîner l'interruption des applications ou des sites web de manière prolongée en l'absence de mesures d'atténuation des attaques DDoS. À mesure que les attaques DDoS continuent d'évoluer, de plus en plus d'entreprises pourraient être exposées à des menaces.
En savoir plus sur la nouvelle ère des attaques DDoS. Et découvrez Cloudflare Magic Transit, qui s'appuie sur l'immense réseau mondial de Cloudflare pour protéger les sous-réseaux accessibles au public contre les attaques DDoS, sans ralentir le trafic.