Début janvier, Gcore a été confronté à un incident impliquant plusieurs attaques DDoS L3/L4 avec un volume maximal de 650 Gbps. Les attaquants ont exploité plus de 2000 serveurs appartenant à l’un des trois principaux fournisseurs de cloud au monde et ciblé un client qui utilisait un plan CDN gratuit. Cependant, en raison de la répartition de l’infrastructure de Gcore et d’un grand nombre de partenaires de peering, les attaques ont été atténuées et l’application Web du client est restée disponible.
Pourquoi l’atténuation de ces attaques était-elle si importante ?
1. Ces attaques étaient importantes car elles dépassaient de 60 fois la bande passante moyenne d’attaques similaires. Les attaques réalisées concernent des attaques volumiques visant à saturer la bande passante de l’application attaquée afin de la faire déborder. Mesurer le volume total (bps) plutôt que le nombre de requêtes est la façon dont ces attaques sont généralement tabulées.
La bande passante moyenne de ce type d’attaque est généralement de l’ordre de quelques dizaines de Gbps (environ 10 Gbps). Par conséquent, les attaques spécifiées (à 650 Gbps) ont dépassé la valeur moyenne de 60 fois. Les attaques de ce volume sont rares et intéressent particulièrement les experts en sécurité.
De plus, cette valeur (650 Gbps) est comparable à l’attaque DDoS record sur le plus grand serveur Minecraft (2,4 Tbps), seulement un quart aussi massive.
2. Le client attaqué utilisait un plan CDN sans supplément Protection DDoS. Lorsque les clients utilisent le CDN de Gcore (dans le cadre du réseau Edge), le trafic malveillant des attaques L3/L4 n’affecte directement que son infrastructure (il sert de filtre), et non les serveurs des clients ciblés. L’impact négatif se fait sentir sur la capacité et la connectivité de l’infrastructure Lorsqu’un CDN est suffisamment puissant, il peut protéger les clients contre les attaques L3/L4, même lorsqu’ils sont accessibles via un forfait gratuit.
Quelles étaient les spécifications techniques des attaques ?
La durée de l’incident a été de 15 minutes, et à son apogée, il a atteint plus de 650 Gbps. Une raison possible pour laquelle l’incident a duré si longtemps est que les attaquants ont pesé l’inefficacité des attaques (l’application client continuait de fonctionner) par rapport à leur coût élevé.
L’incident consistait en trois attaques avec des vecteurs différents. Ils sont matérialisés par des pics de trafic sur le schéma ci-dessous :
- Attaque par inondation UDP (~ 650 Gbps). Des centaines de millions de paquets UDP ont été envoyés au serveur cible pour consommer la bande passante de l’application et provoquer son indisponibilité. Les attaques de ce vecteur utilisent un manque d’exigences d’établissement de connexion UDP : les attaquants peuvent envoyer des paquets avec n’importe quelles données (cela augmente le volume) et utiliser des adresses IP usurpées (cela rend difficile la recherche de l’expéditeur).
- Attaque d’inondation TCP ACK (~ 600 Gbps). Un grand nombre de paquets avec le drapeau ACK ont été envoyés au serveur cible pour le déborder. Les attaques de ce vecteur sont basées sur le fait que les paquets TCP indésirables n’incluent pas de charge utile, mais le serveur est obligé de les traiter, et il peut ne pas avoir suffisamment de ressources pour gérer les demandes des utilisateurs finaux réels. Le système de protection d’un CDN est capable de filtrer les paquets et de ne pas les transmettre au serveur s’ils ne contiennent pas de charges utiles et ne sont pas liés à une session TCP ouverte.
- Un mélange de TCP et UDP (~600 Gbps). Une variante personnalisée des deux types d’attaques précédents.
Le caractère distinctif de l’incident était que les attaques ont été effectuées à partir de plusieurs adresses IP non usurpées. Cela a permis aux spécialistes d’identifier que les attaquants utilisaient 2 143 serveurs dans 44 régions différentes, et que tous les serveurs appartenaient à un seul fournisseur de cloud public. L’utilisation d’Anycast a permis à Gcore d’absorber l’attaque à 100 % sur les connexions de peering avec ce fournisseur.
Diagramme de Sankey montrant la source et le déroulement de l’attaque. Les noms des emplacements de la première colonne sont associés à l’un des 3 principaux fournisseurs de cloud.
Pourquoi les attaques n’ont-elles pas affecté le client ?
1. La connectivité de Gcore via le peering avec de nombreux emplacements a joué un rôle clé dans l’atténuation des attaques. Gcore compte plus de 11 000 partenaires d’appairage (FAI), et ces partenaires connectent leurs réseaux à l’aide de câbles et se donnent mutuellement accès au trafic provenant de leurs réseaux. Ces connexions permettent de contourner l’internet public et d’absorber directement le trafic des partenaires de peering. De plus, ce trafic est soit gratuit, soit beaucoup moins cher que le trafic sur l’internet public. Ce faible coût permet de protéger le trafic client sur un forfait gratuit.
Dans le contexte de l’attaque DDoS qui s’est produite, le niveau de connectivité a grandement profité à l’efficacité de l’atténuation. Gcore et le fournisseur de cloud utilisé pour lancer l’attaque sont des partenaires de peering, donc pendant que l’attaque se produisait, Gcore a pu ingérer la majeure partie du trafic sur le réseau privé du fournisseur de cloud. Cela a considérablement réduit la quantité de trafic devant être gérée par l’Internet public.
L’appairage privé permet également un filtrage plus précis et une meilleure visibilité des attaques, ce qui conduit à une atténuation plus efficace des attaques.
2. La grande capacité de Gcore, due au placement de serveurs dans de nombreux centres de données, a également joué un rôle. Les serveurs Edge de Gcore sont présents dans plus de 140 points de présence et sont basés sur des processeurs Intel® Xeon® Scalable de 3e génération hautes performances.
La capacité globale du réseau est supérieure à 110 Tbps. Avec plus de 500 serveurs situés dans des centres de données dans le monde entier, l’entreprise est capable de résister à des attaques DDoS à grande échelle. Ainsi, les 650 Gbps de trafic pourraient être distribués sur le réseau, et chaque serveur particulier ne recevrait que 1 à 2 Gbps, ce qui est une charge insignifiante.
Tendances de la sécurité
Selon L’expérience de Gcore, les attaques DDoS continueront de croître d’année en année. En 2021, les attaques ont atteint 300 Gbps, et en 2022, elles étaient passées à 700 Gbps. Par conséquent, même les petites et moyennes entreprises doivent utiliser des réseaux de diffusion de contenu distribués tels que le CDN et le Cloud pour se protéger contre les attaques DDoS.
