Ce billet de blog a été co-rédigé par Anupam Vij, Principal PM Manager et Syed Pasha, ingénieur réseau principal, Azure Networking
Au cours de la seconde moitié de 2021, le monde a connu un niveau sans précédent d’activité de déni de service distribué (DDoS) à la fois en termes de complexité et de fréquence. Le secteur du jeu a été la cible la plus touchée, avec des attaques DDoS interrompant les parties des jeux Blizzard1, Titanfall2, Escape de Tarkov3, Dead de Daylight4 et Final Fantasy 145 entre autres. Les fournisseurs de services de voix sur IP (VoIP) tels que Bandwidth.com6, VoIP Unlimited7 et VoIP.ms8 ont subi des pannes après des attaques DDoS avec demande de rançon. En Inde, nous avons vu une augmentation par 30 des attaques DDoS au cours de la saison festive en octobre9 avec plusieurs fournisseurs haut débit ciblés, ce qui montre que les fêtes sont en fait une période intéressante pour les cybercriminels. Comme nous l’avons mis en avant dans le rapport 2021 Microsoft Digital Defense Report, la disponibilité des services DDoS, ainsi que les coûts réduits (d’environ 300 $ USD par mois seulement) permet à tout un chacun de mener très facilement des attaques DDoS ciblées.
Chez Microsoft, malgré les défis en constante évolution du paysage informatique, l’équipe Azure DDoS Protection a pu atténuer avec succès certaines des plus grandes attaques DDoS, à la fois dans Azure et à l’échelle de l’histoire informatique. Dans cette évaluation, nous partageons des tendances et des informations sur les attaques DDoS que nous avons observées et atténuées au cours de la seconde moitié de 2021.
Août a enregistré le nombre le plus élevé d’attaques
Microsoft a atténué une moyenne de 1 955 attaques par jour, une augmentation de 40 % par rapport à la première moitié de 2021. Le nombre maximal d’attaques dans une journée enregistrée était de 4 296 attaques le 10 août 2021. Au total, nous avons atténué jusqu’à 359 713 attaques uniques contre notre infrastructure mondiale au cours de la seconde moitié de 2021, soit une augmentation de 43 % par rapport à la première moitié de 2021.
Fait intéressant, Il n’y a pas eu de concentration d’attaques pendant les vacances de fin d’année par rapport aux années précédentes. Nous avons vu plus d’attaques au 3e et au 4e trimestre, majoritairement en août, ce qui peut indiquer une évolution vers des attaquants qui agissent tout au long de l’année. Les fêtes de fin d’année ne sont plus la cible principale ! Cela souligne l’importance de la protection DDoS toute l’année, et pas seulement pendant les pics de trafic.
Microsoft a atténué une attaque de 3,47 Tbits/s et deux autres attaques au-delà de 2,5 Tbits/s
En octobre dernier, Microsoft a signalé une attaque DDoS de 2,4 Tbits/s dans Azure, que nous avons atténuée avec succès. Depuis, nous avons atténué trois attaques plus grandes.
En novembre, Microsoft a atténué une attaque DDoS avec un débit de 3,47 Tbits/s et un débit de paquets de 340 millions de paquets par seconde ciblant un client Azure en Asie. Nous pensons qu’il s’agit de l’attaque la plus importante jamais signalée dans l’histoire.
Il s’agissait d’une attaque distribuée provenant d’environ 10 000 sources et de plusieurs pays dans le monde entier, notamment les États-Unis, la Chine, la Corée du Sud, la Russie, la Thaïlande, l’Inde, le Vietnam, l’Iran, l’Indonésie et Taïwan. Les vecteurs d’attaque étaient les attaques par réflexion UDP sur le port 80 à l’aide du protocole SSDP (Simple Service Discovery Protocol), du protocole CLDAP (Connection-less Lightweight Directory Access Protocol), du système DNS (Domain Name System) et du protocole NTP (Network Time Protocol) formant un pic unique, et l’attaque globale a duré environ 15 minutes.
En décembre, nous avons atténué deux autres attaques qui dépassent 2,5 Tbits/s, qui se sont produites de nouveau en Asie. L’une d’entre elles était une attaque UDP de 3,25 Tbits/s en Asie sur les ports 80 et 443, couvrant plus de 15 minutes avec quatre pics principaux, le premier à 3,25 Tbits/s, le deuxième à 2,54 Tbits/s, le troisième à 0,59 Tbits/s et le quatrième à 1,25 Tbits/s. L’autre attaque était une inondation UDP de 2,55 Tbits/s sur le port 443 avec un pic unique, et l’attaque globale a duré un peu plus de cinq minutes.
Dans ces cas-là, nos clients n’ont pas à se soucier de la protection de leurs charges de travail dans Azure, contrairement à ce qui se passerait avec une exécution locale. La plateforme de protection DDoS d’Azure, basée sur des pipelines de détection et d’atténuation des intrusions distribués, peut faire l’objet d’une mise à l’échelle massive pour absorber le plus grand nombre d’attaques DDoS, offrant ainsi aux clients le niveau de protection dont ils ont besoin. Le service utilise la détection et l’atténuation rapides des attaques volumineuses en surveillant en continu notre infrastructure à de nombreux points du réseau mondial de Microsoft. Le trafic est nettoyé au niveau du réseau de périphérie Azure avant qu’il n’impacte la disponibilité des services. Si nous constatons que le volume d’attaque est significatif, nous tirons parti de l’échelle mondiale d’Azure pour proposer une protection à partir du point d’origine de l’attaque.
Les attaques en rafales courtes et à vecteurs multiples restent répandues, bien que de nombreuses attaques durent plus longtemps
Alors que dans la première moitié de 2021, la plupart des attaques étaient éphémères, dans la seconde moitié de 2021, la proportion d’attaques de moins de 30 minutes est passée de 74 à 57 %. Nous avons vu une hausse des attaques qui ont duré plus d’une heure, avec un doublement de 13 % à 27 %. Les attaques à vecteurs multiples restent toujours majoritaires.
Il est important de noter que pour les attaques plus longues, chaque attaque est généralement rencontrée par les clients sous forme d’une séquence de plusieurs attaques par rafales courtes et répétées. L’un de ces exemples est l’attaque 3,25 Tbits/s atténuée, qui est l’agrégation de quatre rafales à courte durée consécutives, qui sont progressivement montées en quelques secondes à plusieurs téraoctets.
Inondations d’usurpation UDP dominées, ciblant le secteur du jeu
Les attaques UDP ont augmenté jusqu’au vecteur supérieur au cours de la seconde moitié de 2021, représentant 55 % de toutes les attaques, soit une augmentation de 16 % par rapport à la première moitié de 2021. Pendant ce temps, les attaques TCP sont passées de 54 % à seulement 19 %. Les attaques d’usurpation UDP étaient le type d’attaque le plus courant (55 %), suivi des saturations TCP ACK (14 %) et de l’amplification DNS (6 %).
Les jeux sont toujours le secteur le plus durement touché. Le secteur du jeu a toujours été la cible des attaques DDoS, car les joueurs sont souvent prêts à tout pour gagner. Toutefois, nous avons vu qu’un plus grand nombre de secteurs sont tout aussi sensibles, car nous avons observé une augmentation des attaques dans d’autres secteurs tels que les institutions financières, les médias, les fournisseurs de services Internet, la distribution et la chaîne logistique. En particulier pendant les fêtes, les FAI proposent des services critiques qui alimentent les services de téléphonie, les jeux en ligne et le streaming, ce qui en fait une cible intéressante pour les attaquants.
UDP est couramment utilisé dans les applications de jeux et de streaming. La majorité des attaques sur le secteur du jeu ont été des mutations du botnet Mira et des attaques de protocole UDP à faible volume. Une majorité écrasante étaient des inondations d’usurpation UDP, tandis qu’une petite partie était une réflexion UDP et des attaques d’amplification, principalement SSDP, Memcached et NTP.
Les charges de travail qui sont très sensibles à la latence, comme les serveurs de jeux multijoueur, ne tolèrent pas ces attaques UDP à courtes rafales. Les pannes de quelques secondes peuvent avoir un impact sur les parties de jeu, et les pannes durables de plus de 10 secondes mettent généralement fin à une partie. Pour ce scénario, Azure a récemment publié la préversion de la protection DDoS inline, proposée via des appliances virtuelles de réseau partenaire (appliances virtuelles réseau) qui sont déployées avec Azure Gateway Load Balancer. Cette solution peut être réglée sur la forme spécifique du trafic et peut atténuer les attaques instantanément sans affecter la disponibilité ou les performances des applications sensibles à la latence élevée.
Augmentation énorme des attaques DDoS en Inde, l’Asie de l’Est reste populaire auprès des attaquants
Les États-Unis restent la destination la plus attaquée (54 %). Nous avons observé une forte augmentation des attaques en Inde, de seulement 2 % de toutes les attaques au cours de la première moitié de 2021 à la seconde position à 23 % de toutes les attaques au cours de la seconde moitié de 2021. L’Asie de l’Est (Hong-Kong) reste une région populaire pour les attaquants (8 %). Il est intéressant de constater que, par rapport à d’autres régions, nous avons vu une baisse de l’activité DDoS en Europe, qui a chuté de 19 % dans la première moitié de 2021 à 6 % au cours de la seconde moitié.
La concentration des attaques en Asie peut être expliquée en grande partie par l’énorme empreinte numérique des jeux10, en particulier en Chine, au Japon, en Corée du Sud, à Hong Kong et en Inde, qui continuera à croître à mesure que l’augmentation de l’adoption des smartphone conduira à la popularité des jeux mobiles en Asie. En Inde, un autre facteur important est peut-être que l’accélération de la transformation numérique, par exemple l’initiative « Digital India »11, a augmenté l’exposition globale de la région aux risques informatiques.
Protection contre les nouveaux vecteurs d’attaque
Pendant la saison des fêtes d’octobre à décembre, nous avons effectué une protection contre les nouvelles attaques de flux TCP PUSH-ACK qui étaient dominantes dans la région Asie de l’Est, à savoir, à Hong Kong, en Corée du Sud et au Japon. Nous avons observé une nouvelle technique de manipulation des options TCP utilisée par les attaquants pour vider les charges utiles volumineuses : dans cette variation d’attaque, la longueur de l’option TCP est plus longue que l’en-tête d’option lui-même.
Cette attaque a été automatiquement atténuée par la logique de détection et d’atténuation des anomalies de paquets avancée de la plateforme, sans intervention de l’utilisateur et sans aucun impact sur le client.
Protégez vos charges de travail contre les attaques DDoS avec Microsoft
Au fur et à mesure que le monde progresse vers une nouvelle ère numérique avec l’expansion de la 5G et de l’IoT, et avec davantage de secteurs adoptant des stratégies en ligne, l’encombrement global en ligne accru signifie que la menace de cyberattaques continuera à croître. Comme nous avons vu que les attaques DDoS ont pris un rythme effréné, même hors périodes festives, il est essentiel pour les entreprises de développer une stratégie de réponse DDoS robuste toute l’année, et pas seulement pendant les fêtes.
Chez Microsoft, l’équipe Azure DDoS Protection protège chaque propriété de Microsoft et toute l’infrastructure Azure. Notre vision consiste à protéger toutes les charges de travail accessibles sur Internet dans Azure, contre toutes les attaques DDoS connues à travers tous les niveaux de la pile réseau.
Combinez la Protection DDoS standard avec Application Gateway Azure Web Application Firewall pour une protection complète
En association avec la Protection DDoS standard, Application Gateway Web Application Firewall (WAF) ou un pare-feu d’applications web tiers déployé dans un réseau virtuel avec une adresse IP publique, offre une protection complète contre les attaques L3-L7 sur les ressources web et d’API. Cela fonctionne également si vous utilisez Azure Front Door avec Application Gateway WAF, ou si vos ressources principales se trouvent dans votre environnement local.
Si vous avez des services d’application web PaaS en cours d’exécution sur Azure App Service ou Azure SQL Database, vous pouvez héberger votre application derrière une passerelle d’application Application Gateway et WAF et activer la Protection DDoS standard sur le réseau virtuel qui contient Application Gateway et WAF. Dans ce scénario, l’application web elle-même n’est pas directement exposée à l’Internet public et est protégée par Application Gateway WAF et Protection DDoS standard. Pour réduire au maximum la surface d’exposition potentielle, vous devez également configurer l’application web pour qu’elle accepte uniquement le trafic provenant de l’adresse IP publique Application Gateway et bloquer les ports indésirables.
Utilisez la protection DDoS inline pour les charges de travail sensibles à la latence
Si vous avez des charges de travail qui sont très sensibles à la latence et ne tolèrent pas les attaques DDoS à courtes rafales, nous avons récemment publié la préversion de la protection DDoS inline, proposée via des appliances virtuelles de réseau partenaire (appliances virtuelles réseau) qui sont déployées avec Azure Gateway Load Balancer. La protection DDoS inline atténue les attaques DDoS à courtes rafales instantanément sans affecter la disponibilité ou les performances des applications sensibles à la latence élevée.
Optimisez les opérations SecOps avec Azure Firewall Manager
La protection DDoS standard est automatiquement réglée pour protéger toutes les adresses IP publiques dans les réseaux virtuels, telles que celles qui sont attachées à une machine virtuelle IaaS, Load Balancer (équilibreurs de charge Classiques et Standard), Application Gateway et Azure Firewall Manager. En plus de la gestion de stratégies Pare-feu Azure, Azure Firewall Manager, un service de gestion de la sécurité réseau, prend à présent en charge la gestion de la protection DDoS standard pour vos réseaux virtuels. L’activation de la Protection DDoS Standard sur un réseau virtuel protège le Pare-feu Azure et tous les points de terminaison exposés publiquement qui résident dans le réseau virtuel.
En savoir plus sur la protection DDoS standard Azure
• Page produit Azure DDoS Protection Standard.
• Documentation Azure DDoS Protection Standard.
• Architectures de référence Azure DDoS Protection Standard.
• Bonnes pratiques Protection DDoS.
• Réponse rapide Azure DDoS.
• Tarification et contrat SLA DDoS Protection Standard.
1Overwatch, World of Warcraft Go Down After DDoS | Digital Trends
2After years of struggling against DDoS attacks, Titanfall is being removed from sale | PC Gamer
3'Escape From Tarkov' suffers sustained server issues in possible DDoS attacks (nme.com)
4Dead by Daylight streamers are being DDoS attacked
5'Final Fantasy 14' EU servers affected by DDoS attack (nme.com)
6Bandwidth CEO confirms outages caused by DDoS attack | ZDNet
7DDoS Attack Hits VoIP and Internet Provider VoIP Unlimited Again UPDATE2 - ISPreview UK
8VoIP company battles massive ransom DDoS attack | ZDNet
930-fold increase in DDoS cyber attacks in India in festive season (ahmedabadmirror.com)
10Gaming industry in Asia Pacific - statistics and facts | Statista