La plus grande attaque DDoS jamais observée a atteint un pic de 398 M de rps

 (cloud.google.com)
1 points par GN⁺ 2023-10-11 | 1 commentaires | Partager sur WhatsApp
  • Le 11 octobre 2023, Google a réussi à atténuer la plus grande attaque DDoS (déni de service distribué) jamais observée, qui a atteint un pic de 398 millions de requêtes par seconde (rps).
  • Cette attaque a utilisé HTTP/2 Rapid Reset, une nouvelle technique reposant sur le multiplexage des flux.
  • Son ampleur était immense : en seulement deux minutes, elle a généré plus de requêtes que l’ensemble des consultations d’articles rapportées par Wikipédia en septembre 2023.
  • L’attaque visait de grands fournisseurs d’infrastructure, dont les services de Google, l’infrastructure Google Cloud et leurs clients.
  • L’infrastructure mondiale de répartition de charge et d’atténuation DDoS de Google a permis de maintenir les services en fonctionnement malgré l’attaque.
  • Les attaques DDoS visent à perturber les sites web et services exposés à Internet, en les rendant inaccessibles au moyen d’un trafic Internet massif dirigé vers la cible.
  • Cette attaque a utilisé la nouvelle technique "Rapid Reset", qui exploite le multiplexage des flux, une fonctionnalité du protocole HTTP/2 largement adopté.
  • Google a pu atténuer l’attaque à la périphérie de son réseau, en s’appuyant sur des investissements importants dans sa capacité en edge.
  • Google a coordonné une réponse intersectorielle avec d’autres fournisseurs cloud et mainteneurs logiciels mettant en œuvre la pile protocolaire HTTP/2, en partageant en temps réel des informations sur l’attaque et les méthodes d’atténuation.
  • La vulnérabilité collective liée à cette attaque est suivie sous l’identifiant CVE-2023-44487 et a été classée comme une vulnérabilité à haut risque avec un score CVSS de 7,5 sur 10.
  • Toute entreprise ou tout particulier exposant des charges de travail basées sur HTTP sur Internet peut être vulnérable à ce type d’attaque.
  • Les clients Google Cloud peuvent tirer parti des investissements de capacité à l’échelle mondiale de Google pour fournir et protéger leurs applications sur Cross-Cloud Network.
  • Les clients Google Cloud utilisant un Application Load Balancer global ou régional peuvent atténuer rapidement les attaques exploitant des vulnérabilités comme CVE-2023-44487 grâce à la protection DDoS toujours active de Cloud Armor.
  • Google recommande également le déploiement de politiques de sécurité personnalisées Cloud Armor et l’utilisation d’Adaptive Protection basé sur l’IA afin de mieux détecter, analyser et atténuer le trafic d’attaque.

À lire aussi

1 commentaires

 
GN⁺ 2023-10-11
Avis Hacker News
  • Article sur la plus grande attaque DDoS jamais observée, avec un pic dépassant 398M rps
  • Une discussion est en cours sur la nouvelle attaque DDoS HTTP/2 « Rapid Reset » et sur une vulnérabilité Zero-Day de HTTP/2, à l’origine de cette attaque DDoS record.
  • Des questions sont soulevées sur les motivations derrière ce type d’attaques DDoS et sur les raisons pour lesquelles on dépenserait autant d’argent pour développer des attaques complexes contre l’infrastructure cloud des entreprises
  • Des spéculations évoquent une possible tentative de concurrents visant à affaiblir l’activité d’autres entreprises, ou d’un gouvernement étranger cherchant à perturber les sociétés technologiques américaines
  • Google, AWS et d’autres grands acteurs du secteur ont détecté l’attaque en même temps
  • Curiosité quant à la manière dont les principaux fournisseurs gèrent ce type d’attaques massives, et s’ils se coordonnent en temps réel pour les atténuer ou s’ils se concentrent surtout sur la résolution de leurs propres problèmes
  • Cloudflare a également subi la même attaque
  • Des questions sont posées sur le fonctionnement de l’atténuation DDoS, et sur ce que signifie le fait de placer un site web derrière Cloudflare pour atténuer une attaque DDoS
  • L’article fournit des informations supplémentaires sur la fonctionnalité de réinitialisation rapide de HTTP/2 utilisée dans le cadre de l’attaque DDoS
  • L’attaque relance le débat sur la robustesse de HTTP/2, et sur la possibilité que davantage de personnes envisagent de passer à HTTP/3/QUIC si elles perdent confiance dans ce protocole
  • Aucune information n’est disponible sur l’origine de cette attaque ; on suppose qu’elle nécessite une grande quantité de matériel et qu’elle pourrait être traçable, sauf si un botnet est impliqué
  • Suggestion selon laquelle Cloudflare et d’autres grands fournisseurs devraient informer leurs utilisateurs si leur réseau participe à une attaque DDoS