Les DDoS utilisent une nouvelle méthode puissante pour lancer des attaques d'une ampleur inimaginable,

L'armement des boîtes intermédiaires pour l'amplification par réflexion TCP

En août dernier, des chercheurs universitaires ont découvert une nouvelle méthode puissante pour mettre des sites hors ligne : une flotte de serveurs mal configurés, forts de plus de 100 000 unités, capables d'amplifier des flots de données indésirables à des tailles autrefois impensables. Dans de nombreux cas, ces attaques peuvent aboutir à une boucle de routage infinie qui provoque un déluge de trafic auto-perpétué. Aujourd'hui, le réseau de diffusion de contenu Akamai indique que des cybercriminels exploitent les serveurs pour cibler des sites dans les secteurs de la banque, des voyages, des jeux, des média.

Ces serveurs, appelés middleboxes, sont déployés par des États-nations tels que la Chine, la Russie pour censurer les contenus restreints et par de grandes entreprises pour bloquer les sites qui proposent du porno, des jeux d'argent et des téléchargements pirates. Les serveurs ne respectent pas les spécifications du protocole de contrôle de la transmission qui se fait en trois étapes.

En réalité, ces étapes limitent l'utilisation abusive de l'application basée sur TCP comme amplificateur, car la confirmation ACK doit provenir de la société de jeux ou d'une autre cible plutôt que d'un attaquant usurpant l'adresse IP de la cible. Mais étant donné la nécessité de gérer le routage asymétrique, dans lequel la boîte intermédiaire peut surveiller les paquets livrés par le client mais pas la destination finale qui est censurée ou bloquée, de nombreux serveurs de ce type abandonnent cette exigence par conception.

Les attaques par amplification réfléchie constituent un outil puissant dans l'arsenal d'un attaquant DoS. Un cybercriminel usurpe une requête d'une victime vers un serveur ouvert (par exemple, un résolveur DNS ouvert), et le serveur répond à la victime. Si la réponse est plus importante que la demande usurpée, le serveur amplifie effectivement la bande passante de l'attaquant dans l'attaque DoS.


La plupart des amplifications de déni de service seraient aujourd'hui basées sur le protocole UDP. La raison en est que le protocole TCP se fait en trois étapes qui compliquent les attaques par usurpation. Chaque connexion TCP commence par l'envoi d'un paquet SYN par le client, le serveur répond par un SYN+ACK et le client termine la poignée de main par un paquet ACK. Cette technique protège les applications TCP contre les amplificateurs, car si un attaquant envoie un paquet SYN avec une adresse IP source usurpée, le SYN+ACK sera envoyé à la victime et l'attaquant ne connaîtra jamais les informations critiques contenues dans le SYN+ACK nécessaires pour compléter l'étape à trois voies. Sans recevoir le SYN+ACK, l'attaquant ne peut pas faire de demandes valides au nom de la victime.


Depuis des dizaines d'années, les attaques par déni de service distribué (DDoS) sont utilisées pour inonder des sites avec plus de trafic ou de demandes de calcul que les sites ne peuvent en gérer, privant ainsi les utilisateurs légitimes de services. Pour maximiser les dégâts et économiser les ressources, les auteurs de DDoS augmentent souvent la puissance de feu de leurs attaques grâce à des vecteurs d'amplification.

L'amplification consiste à usurper l'adresse IP de la cible et à envoyer une quantité relativement faible de données à un serveur mal configuré, utilisé pour résoudre les noms de domaine, synchroniser les horloges des ordinateurs ou accélérer la mise en cache des bases de données. Comme les réponses envoyées automatiquement par les serveurs sont des dizaines, des centaines ou des milliers de fois plus importantes que la demande, elles submergent la cible usurpée.

Découverte de boîtes intermédiaires amplificatrices

L’objectif est d'arriver a une séquence de paquets qu'un attaquant peut envoyer pour tromper une middlebox afin qu'elle injecte une réponse sans passer par les trois étapes de l’échange TCP. Selon les chercheurs, cet objectif n'est pas conforme à TCP. « Nous profitons des faiblesses de l'implémentation, et non de la conception du protocole TCP lui-même. Cela signifie qu'il n'est pas suffisant d'étudier le protocole TCP seul - nous devons étudier les implémentations TCP réelles des boîtes intermédiaires. Cela représente un défi. »

« Il existe trop de types de boîtes intermédiaires dans le monde pour que nous puissions les acheter, et même si nous le pouvions, les boîtes intermédiaires qui alimentent l'infrastructure de censure des États-nations ne sont généralement pas à vendre ». Au lieu de cela, les chercheurs ont utilisé l’outil Geneva pour étudier les middlebox de censure dans la nature.

Pour trouver les middleboxes à étudier, ils ont utilisé les données publiques publiées par l'outil Quack de CensoredPlanet. Quack est un scanner qui trouve les adresses IP avec une middlebox de censure sur leur chemin. Ces données ont été utilisées pour identifier 184 exemples de middleboxes situées dans le monde entier qui ont effectué une censure HTTP en injectant des pages de blocage. Geneva (Genetic Evasion) est un algorithme génétique conçu par les chercheurs pour découvrir automatiquement de nouveaux moyens d'échapper à la censure, mais Geneva est avant tout un fuzzer réseau au niveau des paquets.


Les chercheurs disent avoir trouvé 5 séquences de paquets qui ont suscité des réponses amplifiées de la part des boîtes intermédiaires. Chacune d'entre elles contiendrait une requête HTTP GET bien formée pour un domaine qui est interdit par la middlebox :

1. paquet SYN (avec une requête interdite) ;
2. Paquet PSH ;
3. Paquet PSH+ACK ;
4. paquet SYN, suivi d'un paquet PSH contenant la demande interdite ;
5. Paquet SYN, suivi d'un paquet PSH+ACK contenant la requête interdite.

« Nous avons également trouvé 5 autres modifications qui augmentent encore l'amplification pour une petite fraction des middleboxes ; un attaquant pourrait les utiliser pour des middleboxes spécifiques », ont-ils déclaré. Pour obtenir une réponse de ces boîtes intermédiaires, les chercheurs utilisent un domaine qui est censuré ou interdit par chaque boîte intermédiaire, mais la plupart des boîtes intermédiaires de censure utilisent différentes listes de blocage, ce qui rend difficile de trouver un domaine qui suscitera des pages de blocage de la part de tous. L'ensemble de données Quack a été analysé pour trouver les 5 domaines qui ont suscité des réponses de la part du plus grand nombre de middleboxes, qui, par coïncidence, couvrent cinq domaines différents :

• (pornographie) youporn.com ;
• (jeux d'argent) roxypalace.com ;
• (réseaux sociaux) plus.google.com ;
• (partage de fichiers) bittorrent.com ;
• (santé/éducation sexuelle) survive.org.uk.

Trouver des amplificateurs

Pour mesurer le nombre d'adresses IP permettant une amplification réfléchie, l'ensemble de l'Internet IPv4 a été balayé. Pour ce faire, ils ont modifié l'analyseur zmap pour construire les cinq séquences de paquets identifiées par Geneva. « Nous avons scanné l'ensemble de l'Internet IPv4 35 fois au total (5 séquences de paquets × 7 domaines de test). Nous avons mesuré les réponses que nous avons reçues en retour pour calculer le...