www.belgium.be Logo of the federal government

Ddos_amplification

Description

Ce rapport contient les événements d’attaques par déni de service distribuées (DDoS  - Distributed Denial Of Service) avec amplification. Cette catégorie d'attaques DDoS exploite des services ouverts et amplifiables basés sur le protocole UDP afin de renvoyer des paquets, dont la taille a été énormément augmentée, à une victime, en usurpant son adresse IP. Selon le protocole et le type de services ouverts utilisés, la taille du contenu du paquet original envoyé par le pirate informatique peut être amplifiée plusieurs fois (parfois même par un facteur multiplicateur de plusieurs centaines voire milliers) par la réponse du service, inondant ainsi la victime de paquets non-sollicités et permettant le DDoS. Les « honeypots » qui émulent des services ouverts et amplifiables peuvent être utilisés pour détecter ce type d'attaque. Cependant, comme la source de ces attaques usurpe l'adresse IP de la victime, il n'est possible de prévenir que les victimes, la source du DDoS restant elle plus difficile à localiser.  Le projet SISSDEN de l'UE Horizon 2020 a rendu ce type de rapport possible.

Évaluation

Les entrées de ce rapport correspondent à des hôtes visés par une attaque DDoS. Ils ne sont en aucun cas malveillants et il n'y a rien d'identifiable de leur côté (service, malware, utilisateur) qui laisse à penser que cela se reproduira ou pourrait se reproduire à l'avenir. La probabilité que cela se reproduise est considérée comme moyenne, car une attaque DDoS est souvent répétée sur la même cible. L'impact est jugé élevé car une attaque DDoS peut faire tomber un serveur ou un hôte s’il n’est pas protégé contre ce type de menace. Le risque global est considéré comme élevé en raison des dommages potentiels causés aux tiers.

Recommandations

/

Références

Shadow Server – Amplification DDoS Victim Report

EU SISSDEN