Les statistiques du service DDoS Mitigation nous donnent un aperçu intéressant de l'évolution rapide du paysage des attaques DDoS. Au premier trimestre 2022, par exemple, nous avons constaté une augmentation du nombre d'attaques ciblées à grande échelle.
Les clients de Belnet qui utilisent le service DDoS Mitigation disposent d'un tableau de bord et d'une plateforme de surveillance qui leur permettent de visualiser les attaques en temps réel et de mieux comprendre leur cause et leur impact.
Ces mêmes données sont régulièrement analysées par Belnet. Elles nous donnent un aperçu de certaines tendances et changements dans le paysage des DDoS. Actuellement, une vingtaine d'organisations utilisent ce service. Les données et les conclusions que nous présentons ci-dessous ne concernent donc pas l'ensemble de la communauté Belnet.
Tout nouveau service anti-DDoS d'ici la fin 2022
Afin de pouvoir répondre encore mieux aux besoins changeants de nos clients et à l'évolution rapide des cybermenaces, Belnet a entamé le renouvellement du service DDoS Mitigation. La nouvelle solution, dont le lancement est prévu d'ici la fin de l'année, permettra de protéger beaucoup plus de clients que ce n'est le cas aujourd'hui. Pour l'instant, le marché est en cours d'étude et des cycles de négociation sont prévus. Après la sélection finale de la solution, nous communiquerons plus en détail sur les fonctionnalités supplémentaires et les possibilités de protection de la solution choisie.
Que constatons-nous dans le suivi des DDoS (comparaison entre le 4ème trimestre 2021 et le 1er trimestre 2022) ?
Volume et type d'attaques
- Nous constatons que le volume du trafic de données filtrées est en constante augmentation. Au quatrième trimestre 2021, il était de 29.644 milliards de paquets. Au premier trimestre de 2022, ce chiffre était de 33.293 milliards. Cela représente une augmentation de 12,3 %.
- Au cours des trois premiers mois de 2022, Belnet a dû recourir à son centre de cloud scrubbing externe environ trois fois plus souvent qu'au quatrième trimestre de 2021. Cela s'explique par le fait qu'il y a eu davantage d'attaques sur des clients spécifiques. Ces attaques étaient si puissantes qu'elles menaçaient de saturer les liaisons montantes du réseau Belnet. Même si le nombre d'activations de cette couche de protection supplémentaire reste faible, elle permet d'éviter un impact non négligeable sur le réseau à chaque activation.
- Les attaques par fragmentation IP ont été le type d'attaque le plus courant, suivies par les attaques UDP Flood et SYN flood. Le nombre d'attaques TCP Push a fortement diminué en termes relatifs.
Durée des attaques
- La durée des attaques dépend beaucoup des techniques d'atténuation. Nous constatons que les attaques qui peuvent être atténuées rapidement ne durent généralement pas aussi longtemps. Nous supposons que les attaquants ne veulent généralement pas investir davantage lorsqu'ils se rendent compte que leur attaque ne semble pas aboutir.
- Il arrive parfois que les cybercriminels poursuivent leur attaque pendant des heures. Par exemple, au premier trimestre 2022, une organisation publique a été visée par une attaque DDoS qui a duré au total plus de 48 heures.
Cibles
- Certains types d'organisations subissent davantage d'attaques DDoS en raison de la nature de leurs activités. Par exemple, au quatrième trimestre 2021 et au premier trimestre 2022, la plupart des attaques étaient dirigées contre des institutions du secteur public et les autorités fédérales.
- La majorité des attaques ont eu lieu pendant les heures de bureau. Ce qui est logique, car c'est à ces moments-là que les attaquants peuvent avoir le plus d'impact sur leur cible ou lui nuire le plus.
Notre expertise : atténuation des attaques DDoS volumétriques
Au fil des ans, Belnet a acquis une expertise et une expérience considérables dans l'identification et l'atténuation des attaques DDoS volumétriques. Le service DDoS Mitigation que nous proposons depuis 2016 au sein du pilier « Trust & Security » de notre offre de services, protège les clients individuels contre les attaques volumétriques et de sessions.
Le service ne se concentre délibérément pas sur la protection contre les attaques applicatives (les attaques « Layer 7 »). Il s'agit d'un choix délibéré : le rôle central d'un ISP tel que Belnet se prête parfaitement à l'atténuation des attaques volumétriques. Cependant, la protection contre les attaques des couches supérieures du modèle OSI n'est pas adaptable au niveau d'un ISP. En effet, ces attaques applicatives sont fortement liées à la nature des applications utilisées au sein d'une organisation donnée et notre expérience démontre que celles-ci diffèrent fortement selon le type d'institution connectée.
Centre de scrubbing externe
Qu'en est-il des organisations qui ne disposent pas encore d'un service DDoS Mitigation ? Elles sont toujours aidées de manière réactive par Belnet lorsqu'elles sont attaquées. Le cas échéant, elles peuvent compter sur l'expertise de nos équipes techniques pour installer certains filtres afin de repousser l'attaque. Cela se fait toujours en collaboration avec le client attaqué et après son approbation. Comme ces filtres doivent être mis en place manuellement, cela prend plus de temps qu'une approche proactive.
Lorsqu'une attaque contre un client spécifique de Belnet (qui dispose ou non d'une protection individuelle) est si puissante qu'elle menace de saturer le reste du réseau, Belnet peut recourir à un centre de cloud scrubbing externe. Il s'agit d'un mécanisme de protection supplémentaire qui a été mis en œuvre en mai 2021.
Il se compose d'un gigantesque réseau de scrubbing mondial (en dehors du réseau Belnet), qui absorbe et filtre le trafic du client concerné. Le centre de scrubbing sert principalement à protéger le réseau Belnet lui-même et donc pas à protéger les clients individuels.
Les attaques volumétriques visent à inonder le réseau d'une organisation de grandes quantités de trafic généré par l'attaquant dans le but de consommer toute la bande passante disponible pour une application particulière, ce qui entraîne son ralentissement ou sa défaillance.
Les attaques de sessions tentent de faire tomber un serveur ou un pare-feu d'application avec un grand nombre de demandes de connexion. Elles absorbent les ressources du serveur, rendant impossible l'ouverture de nouvelles connexions légitimes et pouvant même faire planter le serveur ou le pare-feu.
Les attaques applicatives (dites attaques « layer 7 » ou L7) ciblent les faiblesses de systèmes ou d'applications spécifiques. Une telle attaque envoie par exemple une requête qui nécessite beaucoup de travail, ce qui entraîne un ralentissement, voire un plantage de l'application.
La fragmentation IP est un type courant d'attaque DDoS, où l'attaquant prend le dessus sur un réseau en utilisant des mécanismes de fragmentation des datagrammes. Les paquets de données sont délibérément décomposés en petits morceaux avant d'être envoyés à la cible. De cette façon, le serveur est constamment en train de les reconstituer, ce qui le surcharge.
Le SYN flood est un type d'attaque DDoS qui vise à rendre un serveur indisponible au trafic légitime en utilisant toutes les ressources disponibles du serveur. En envoyant de façon répétée des paquets de demande de connexion initiale (paquets SYN), l'attaquant peut surcharger tous les ports disponibles sur une machine serveur ciblée, ce qui fait que le dispositif cible est lent à répondre au trafic légitime ou ne répond pas du tout.
L’UDP flood est un type d'attaque DDoS dans lequel un grand nombre de paquets UDP (User Datagram Protocol) sont envoyés à un serveur spécifique dans le but de saturer les capacités de traitement et de réaction de ce serveur. Le pare-feu protégeant le serveur attaqué peut également tomber en panne à cause de l'UDP flooding, ce qui rend le trafic légitime inaccessible.
Le TCP Push est un type d'attaque où les attaquants inondent un serveur de fausses demandes de push. Le serveur doit traiter chaque demande reçue, utilisant une telle puissance de calcul qu'il ne peut répondre au trafic légitime.