Cette nouvelle technique s’appuie sur des serveurs intermédiaires dédiés à la surveillance des flux et promet des niveaux d’amplification particulièrement élevés… voire quasi infinis.
Une nouvelle technique d’attaque par déni de service distribué (DDoS) commence à être mise en œuvre par les pirates, et elle risque d’augmenter sensiblement la pression sur les administrateurs réseau.
Cette technique s’appuie sur des serveurs intermédiaires (appelés middleboxes) qui filtrent les flux TCP/IP. Ces appareils sont principalement utilisés par les gouvernements et les entreprises pour surveiller et censurer des flux Internet. Le problème, c’est qu’ils ne respectent pas les règles du protocole TCP, et notamment le fameux three-way handshake, qui assure l’établissement de la connexion. Ce qui ouvre la porte à des attaques DDoS par réflexion et amplification.
Cette nouvelle façon de faire a été démontrée par des chercheurs en août 2021, à l’occasion de la conférence Usenix. Dans leur article Weaponizing Middleboxes for TCP Reflected Amplification, les auteurs ont détecté des centaines de milliers de serveurs intermédiaires vulnérables à ce type d’attaque et générant un niveau d’amplification supérieur à 100. Autrement dit, la réponse renvoyée est au moins 100 fois plus volumineuse que le message initial.
Dans certains cas, l’amplification pouvait même dépasser le facteur 700 000, voire… atteindre l’infini ! En effet, certains serveurs sont tellement mal configurés qu’ils génèrent des boucles de routage et renvoient en permanence des flux.
Six mois après que la théorie a été présentée, des pirates sont passés à la pratique, à l’acte. Dans une note de blog, la société Akamai signale avoir détecté les premières attaques par réflexion TCP sur des serveurs intermédiaires.
La puissance observée est encore modeste, avec des pics atteignant 11 Gbits/s. Parmi les victimes figurent des entreprises des secteurs de la banque, du voyage, des jeux vidéo, des médias et de l’hébergement.
« Bien que le trafic d’attaque actuel soit relativement faible, nous nous attendons à ce que ce type d’attaque se développe à l’avenir, en raison de l’amplification significative qu’il offre à un attaquant », estime Akamai.