Oui, la détection précoce est possible grâce à une surveillance vigilante du trafic réseau et à la reconnaissance de schémas inhabituels indiquant une attaque Flood potentielle.
Une attaque WS-Discovery Flood est une attaque par réflexion DDoS qui utilise le protocole WS-Discovery pour amplifier de manière significative la puissance de l'attaque. Les attaques WS-Discovery Floods sont lancées pour submerger de trafic les serveurs, sites Web, réseaux ou autres machines, au point de les faire ralentir ou planter. Les techniques d'amplification telles que celles utilisées dans les attaques WS-Discovery Flood permettent aux attaquants de générer des attaques massives avec peu d'efforts et de ressources.
Quelle est la signification du terme « attaque DDoS » ?
Une attaque par déni de service distribué (DDoS) est une cyberattaque dans laquelle des pirates informatiques prennent le contrôle de milliers ou de millions de machines infectées par des logiciels malveillants, comme des ordinateurs ou des terminaux IoT, et les utilisent pour envoyer du trafic et des requêtes à une cible ou à une victime, généralement un serveur. En essayant de répondre à la quantité massive de requêtes ou de comprendre celle-ci, le serveur ciblé devient saturé, et ralentit ou plante. Par conséquent, une attaque DDoS peut interrompre l'activité de sites Web, de réseaux et d'organisations pendant un certain temps.
Qu'est-ce qu'une attaque DDoS par réflexion ?
Dans une attaque par réflexion, les attaquants usurpent les adresses IP de destination, en utilisant l'adresse IP de la victime ou du serveur ciblé pour interroger un autre serveur en envoyant des requêtes de paquets. Lorsque le système interrogé répond à la demande de paquet, les réponses sont adressées aux machines de la victime plutôt qu'à celles des attaquants. Cette technique permet au trafic DDoS d'être « réfléchi » par d'autres machines, plutôt qu'envoyé directement vers la cible.
Pour amplifier leurs efforts, les attaquants cherchent à refléter le trafic sur des machines qui fournissent une réponse beaucoup plus importante que la requête initiale. Dans ces attaques par amplification,les attaquants peuvent utiliser un nombre relativement faible de paquets initiaux et dépenser peu de ressources pour générer des quantités massives de trafic contenant de grandes quantités de données, submergeant les machines ciblées plus rapidement et plus facilement.
Qu'est-ce que WS-Discovery ?
Web Services Dynamic Discovery (WS-Discovery ou WSD) est un protocole de communication multidiffusion conçu pour la découverte de terminaux sur les réseaux locaux. WS-Discovery utilise le protocole UDP (User Datagram Protocol), l'un des principaux protocoles de transport pour les communications Internet, mais peut également exploiter le protocole TCP (Transmission Control Protocol). Les terminaux compatibles WSD, comme les caméras IP, enregistreurs vidéo numériques, haut-parleurs, etc., émettent des signaux pour faciliter la découverte et les connexions entre les terminaux. Par exemple, un enregistreur vidéo numérique peut utiliser le protocole WSD pour découvrir les caméras IP à proximité avec lesquelles il peut communiquer. Bien qu'il ne s'agisse pas d'un protocole largement connu, WS-Discovery a été adopté par l' ONVIF, organisation qui promeut des interfaces standardisées pour accroître l'interopérabilité des produits réseau. En conséquence, le protocole WSD est désormais inclus dans des centaines de milliers de produits dans le monde entier.
Le protocole WSD était initialement destiné à être limité aux réseaux locaux (LAN). À mesure que les fabricants ont produit du matériel intégrant le service WSD et que les utilisateurs ont déployé ce matériel sur Internet, les attaquants en ont fait un nouveau vecteur d'attaque pour la réflexion DDoS.
Comment fonctionne une attaque WS-Discovery Flood ?
Une attaque DDoS par réflexion WS-Discovery exploite une vulnérabilité dans le protocole UDP/TCP. UDP étant un protocole sans état, il est facile pour les attaquants d'usurper ou de falsifier une adresse IP lorsqu'ils envoient des requêtes vers d'autres terminaux. Cela permet aux attaquants de diriger des quantités massives de trafic depuis des terminaux WS-Discovery vers la cible de leurs attaques DDoS. Bien que TCP soit un protocole orienté vers les connexions ou l'état, il peut toujours être exploité dans le cadre d'attaques d'usurpation d'adresse IP et WSD.
Ce qui rend une attaque WS-Discovery Flood si puissante, c'est que la réponse WSD est bien plus volumineuse que la requête initiale. Les petits paquets initiaux envoyés à un terminal WS-Discovery peuvent générer des réponses 75 à 150 fois plus grandes. Plusieurs attaques ont même montré des taux d'amplification de 300 et 500 fois. Cette valeur est significativement plus importante que les autres attaques de protocole UDP qui tendent vers un facteur d'amplification moyen de 10.
Les attaques DDoS WS-Discovery Flood sont également difficiles à identifier. Le protocole répond à l'aide de ports aléatoires élevés et de charges utiles de données uniques qui rendent difficile la reconnaissance et l'atténuation de l'attaque. En outre, en raison du volume de l'amplification et de la réflexion, au moment où l'attaque cible les systèmes ou services d'origine, les liaisons montantes vers Internet sont déjà saturées, et la capacité de détection et d'atténuation est perdue.
Foire aux questions (FAQ)
Les équipes de sécurité peuvent mettre en œuvre différentes protections pour se défendre contre les attaques par réflexion WS-Discovery.
- Blocage du trafic sur le port UDP 3702. Les équipes de sécurité peuvent bloquer le port source UDP 3702 sur leurs terminaux et pare-feux de passerelle pour empêcher le trafic WSD. Cependant, cette approche n'empêchera pas le trafic de consommer la bande passante des routeurs. Des approches supplémentaires d'atténuation du cloud sont donc recommandées.
- Filtrage IP. Les équipes de sécurité peuvent déployer une technologie de filtrage IP pour rejeter les requêtes provenant d'adresses IP non autorisées.
- Les services de lutte contre les attaques DDoS. Le déploiement de services d'atténuation des attaques DDoS dans le cloud d'un fournisseur de services de cybersécurité de premier plan comme Akamai est l'un des moyens les plus efficaces de bloquer les attaques DDoS et les attaques par amplification.
Les attaques WS-Discovery Flood, bien qu'elles ne se produisent pas tous les jours, sont suffisamment importantes pour justifier une attention particulière. Comprendre leur fréquence aide à concevoir des stratégies proactives de sécurité réseau.
Bien qu'aucun réseau ne soit totalement à l'abri, des mesures de sécurité proactives réduisent considérablement la vulnérabilité des attaques WS-Discovery Flood.
Les risques associés aux attaques WS-Discovery Flood vont des perturbations réseau à d'autres attaques multivectorielles conduisant à des violations de données potentielles, ce qui en fait un problème de sécurité majeur.
Pourquoi les clients choisissent-ils Akamai ?
Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.