Cloudflare a publié un rapport sur une attaque DDOS massive, citant plusieurs centres de données d’hébergement cloud bien connus comme étant à l’origine de l’attaque. L’attaque semblait suivre une tendance d’attaques de plus en plus lancées à partir de centres de données au lieu des botnets résidentiels traditionnels.
L’attaque a été décrite comme l’une des plus importantes jamais vues :
« Plus tôt ce mois-ci, les systèmes de Cloudflare ont automatiquement détecté et atténué une attaque DDoS de 15,3 millions de requêtes par seconde (rps), l’une des plus importantes attaques DDoS HTTPS jamais enregistrées.
Ddos
Une attaque par déni de service distribué (DDoS) se produit lorsque des milliers d’appareils connectés à Internet effectuent des demandes de page à un rythme rapide, ce qui peut empêcher le serveur du site Web de traiter les demandes de pages Web à partir d’une condition connue sous le nom de refus. de services. Les attaques DDOS proviennent généralement de ce qu’on appelle des botnets.
Réseaux de zombies
Un botnet est un réseau d’appareils connectés à Internet tels que des routeurs, des appareils IoT, des ordinateurs, des sites Web et des serveurs d’hébergement Web qui sont infectés et placés sous le contrôle de pirates.
Des botnets des FAI résidentiels aux centres de données basés sur le cloud
Le rapport Cloudflare a noté que les attaques DDOS proviennent de plus en plus de centres de données basés sur le cloud au lieu de botnets de FAI résidentiels. Cela représente un changement de tactique.
Selon le rapport d’attaque Cloudflare DDOS :
« Ce qui est intéressant, c’est que l’attaque provenait principalement des centres de données. Nous assistons à un grand passage des fournisseurs de services Internet (FAI) de réseau résidentiel aux FAI de calcul cloud.
Principaux centres de données cloud
Cloudflare a nommé plusieurs centres de données basés sur le cloud comme étant à l’origine de l’attaque, dont deux sont déjà bien connus dans la communauté des éditeurs comme des sources courantes de spam et de visiteurs bot indésirables. Les deux principales sources de cette attaque DDOS, selon les données de Cloudflare, étaient OVH et Hetzner.
Cloudflare a offert ces détails :
« . l’attaque provenait de plus de 1 300 réseaux différents. Les principaux réseaux comprenaient le fournisseur allemand Hetzner Online GmbH (numéro de système autonome 24940), Azteca Comunicaciones Colombia (ASN 262186), OVH en France (ASN 16276), ainsi que d’autres fournisseurs de cloud.
OVH et Hetzner comme sources de spam
En plus d’être à l’origine d’attaques DDOS, OVH et Hetzner sont connus pour être des sources d’attaques liées au spam. Selon les données du service de protection anti-spam SaaS CleanTalk, les spam bots provenant d’OVH représentent 10,97 % de l’activité détectée à partir d’adresses IP associées à OVH. Activité de spam provenant de Hetzner qui a été détectée par CleanTalk, sur 213 621 adresses IP détectées comme source de trafic, 14 997 (7,02 %) de ces adresses IP étaient associées à des attaques de spam. Alors que les attaques DDOS et spam sont deux choses différentes, ces statistiques sont citées pour montrer comment ces deux centres de données cloud sont utilisés pour une variété d’activités malveillantes, pas seulement pour les attaques DDOS. Un éditeur du WebmasterWorld Forum a récemment observé qu’il subissait un trafic de robots d’OVH supérieur au trafic humain légitime des FAI connus.
Le membre de WebmasterWorld a écrit dans un message du forum :
« Au cours des 24 derniers mois, les journaux du serveur Web sur une douzaine de sites Web que je gère ont un pourcentage élevé de trafic provenant du centre de données d’OVH. Ce trafic arrive via de nombreuses adresses IP attribuées à OVH. Étant donné que le volume de trafic est considérablement plus important que le trafic provenant des FAI légitimes (ATT, Verizon, Charter, Comcast, Shaw, etc.), j’ai l’impression que le trafic d’OVH est dû aux bots/scrapers hébergés au centre de données d’OVH serveurs cloud. Le trafic de robots indésirables d’OVH est un problème si courant que lorsqu’un centre de données OVH en France a brûlé, un membre de WebmasterWorld a pratiquement applaudi l’événement en postant : « En regardant du bon côté, nos sites Web auront désormais moins de trafic de robots. » La question qu’il faut peut-être se poser est la suivante : pourquoi y a-t-il autant de trafic de robots malveillants provenant d’OVH et de Hetzner ? Ce n’est pas quelque chose de nouveau non plus. Les plaintes des webmasters et des éditeurs concernant le trafic des bots d’OVH remontent à longtemps. Voici des exemples de discussions sur WebmasterWorld impliquant OVH : Les discussions ci-dessus remontent à 2013 où les éditeurs et les webmasters se plaignent du trafic de robots malveillants d’OVH.
Dans une discussion du forum WebmasterWorld de 2015 intitulée Sources de botnet, un membre du forum a posté :
« RE : botnets, je suis plus préoccupé par ceux qui cliquent par erreur sur mes annonceurs (hébergés, tiers et AdSense.) Cependant, je suis sûr qu’il existe un croisement significatif entre les deux catégories, donc ces articles Spamhaus liés sont un bon lu, merci. Petite surprise qu’OVH soit en tête du peloton ! ” Compte tenu de la longue histoire du trafic de bots indésirables d’OVH et de Hetzner, il n’est pas tout à fait surprenant de voir qu’ils sont désormais cités par Cloudflare comme étant à l’origine d’une attaque DDOS.
OVH et Hetzner sont à l’origine des bots et des attaques DDOS
Il est bien documenté par les services Saas de blocage du spam qu’OVH et Hetzner sont des sources de spam. Nous avons maintenant une documentation de Cloudflare indiquant que les services d’hébergement cloud d’OVH et Hetzner sont à l’origine des attaques DDOS. Cloudflare a identifié les attaques comme provenant d’un botnet sur ces hôtes cloud. Cela peut donc signifier que divers serveurs ont été compromis.
Citation
Lire le rapport sur les attaques DDOS de Cloudflare
Cloudflare bloque une attaque HTTPS DDoS de 15 millions de rps