Secu
Les dessous techniques de la méga-attaque informatique sur Spamhaus
Par La rédaction, publié le 28 mars 2013
L’attaquant s’est servi des serveurs DNS pour amplifier par un facteur 100 ses frappes par déni de service. Ce qui a permis de déverser un flot de 300 Gbit/s sur la société Spamhaus.
La semaine dernière, une attaque de déni de service distribué (DDoS) particulièrement violente a déferlé sur Spamhaus, une groupe antispam, avec des débits pouvant aller jusqu’à 300 Gbit/s. Du jamais vu jusqu’à présent. Une force de flux capable, selon les experts, de faire plier même les routeurs des réseaux dorsaux de la Toile. Comment l’attaquant a-t-il réussi cela ? La société CloudFlare, auprès de qui s’est tourné Spamhaus pour trouver de l’aide, donne des explications techniques dans deux notes de blog.
Mais d’abord un petit rappel. Une attaque par déni de service consiste à envoyer tellement de requêtes sur un serveur qu’il sature et tombe dans les choux. Généralement, ce type d’attaque se fait à partir des nœuds d’un réseau botnet, ce qui permet de démultiplier les sources de requêtes. On parle alors de déni de service distribué.
Usurpation d’adresses IP
Pour autant, cela ne suffit pas pour atteindre une puissance de 300 Gbit/s. Pour cela, l’attaquant de Spamhaus s’est appuyé sur une faille bien connue des serveurs DNS, ces machines qui sont réparties un peu partout sur Internet et qui traduisent les noms de domaine en adresses IP routables.
Les nœuds zombies de l’attaquant ont envoyé une demande concernant le domaine « ripe.net » à toute une série de serveurs DNS, mais en leur faisant croire que cette demande provenait de Spamhaus (par une technique dite d’usurpation d’adresse). Résultat : tous les serveurs DNS ont envoyé leurs réponses vers les serveurs de groupe antispam. L’intérêt, pour le cybercriminel, c’est que les réponses envoyées sont beaucoup plus grandes que les requêtes.
Alors que la demande DNS envoyée par les PC zombies ne faisait que 36 octets de long, la réponse du serveur DNS transmise à Spamhaus était de 3 000 octets. On a donc une amplification par un facteur 100 ! Autre avantage, les serveurs DNS disposent généralement d’une bien meilleure bande passante que les PC zombies d’un botnet. Grâce à cet effet de levier, un botnet de petite ou moyenne taille suffisait pour générer le puissant flot numérique qui s’est déversé sur le groupe antispam, estime CloudFlare.
Un problème bien connu
Cette technique d’amplification basée sur les serveurs DSN n’est pas nouvelle, et le problème a été pointé par de nombreux experts depuis des années. En 2006, Stéphane Bortzmeyer, ingénieur au sein de l’Afnic, écrivait déjà dans plusieurs articles techniques sur le sujet. Cette attaque repose en fait sur deux éléments. D’une part, il est trop facile d’usurper une adresse source dans une requête Internet. D’autre part, beaucoup de serveurs DNS sont encore configurée de manière « ouverte », c’est-à-dire qu’ils acceptent des requêtes de n’importe qui. La combinaison des deux permet de créer ces attaques par amplification DNS, qui sont en train de devenir de véritables armes nucléaires du web.
Un moyen de limiter ces attaques serait, par exemple, de « fermer » les serveurs DNS, pour qu’ils ne répondent plus qu’aux requêtes de certaines adresses IP. Par ailleurs, les fournisseurs d’accès ne devraient laisser sortir de leur réseau « que les paquets IP dont l’adresse est une adresse allouées par ledit FAI », explique Stéphane Bortzmeyer dans un article de blog. Finalement, tout est une question d’organisation et de volonté.
Sources :
La première et la seconde note de blog de CloudFlare.
Les articles de Stéphane Bortzmeyer sur le danger des serveurs DNS ouverts et sur l’usurpation des adresses IP.
Lire aussi :
Une méga-attaque informatique surcharge le web