Salut Matthieu Tout a fait en phase avec ton analyse du vecteur d’attaque "SYN/ACK amplification attack".
Les hébergeurs et leur scopes d’IP (plusieurs /24 voir /16 en DST) se font arroser avec du TCP SYN Spoofé avec des IP SRC de victimes (paris en ligne). Les victimes se prennent donc en retour des SYN/ACK floods réfléchis par des serveurs légitimes hébergés par des infra Clouds (TCP 80/443 …etc). Ces attaques "SYN/ACK amplification" combinent deux techniques bien connus : * utilisation de services ouverts/réflecteurs (ex NTP comme dans NTP Réflexion/Amplification) mais cette fois avec des services TCP au lieu d’UDP – le facteur d’amplification est très faible comme tu l’as souligné mais le potentiel d’openreflectors (nb de services TCP ouverts) est plus large ce qui donne souvent des attaques en MPPS. * utilisation de « Carpet Bombing » : arroser en destination un scope Large d’IP comme plusieurs /24 voir plusieurs /16 pour multiplier l’effet de réflexion par le nb de services ouverts. Les attaquant sont devenu très fainéant. Avant ils s’amusaient a collecter/scanner le net pour trouver la liste des Openresolvers DNS (ou autres services UDP open) pour faire de la reflection/amplification, de nos jours ils arrosent tout un scope d’IP sans faire de Scan au préalable. « Carpet Bombing » a été utilisé depuis deux ans contre principalement des opérateurs fixe/broadband pour saturer leur réseau d’accès : on arrose tout un pool d’adresses DSLAM/BAS/CMTS (plusieurs /24 voir des /16 ou /8 dans le cas d’opérateurs US) et on sature le réseau d’accès/agrégation voir Core. https://www.zdnet.com/article/carpet-bombing-ddos-attack-takes-down-south-african-isp-for-an-entire-day/ En Amérique latine en ce moment on voit du SYN Spoofé dirigé vers des CPE Broadband qui ont certains ports de gestion TCP ouverts et donc font du SYN/ACK en retour. On pense que ces vecteurs d’attaques commencent à a se démocratiser grâce a l’intégration dans les Botnets et autres services Booter/Stresser ce qui va rendre leur utilisation encore plus facile et augmenter la fréquence de ce vecteur d’attaque. C’est comme le DNS Prepending (ou PRSD) qui a fait couler de l’encre en 2016 avec l’attaque contre DYN DNS et a touché AWS plus récemment, il est intégré aux Botnet/Stresser et on en voit de plus en plus … vigilance donc sur la protection de vos DNS. A+ Reda From: <frnog-requ...@frnog.org> on behalf of Matthieu Texier <matth...@pragma-security.com> Date: Tuesday 5 November 2019 at 13:36 To: Gaetan Allart <gae...@nexylan.com> Cc: Guillaume Barrot <guillaume.bar...@gmail.com>, Michel Py <mic...@arneill-py.sacramento.ca.us>, "raph...@maunier.net" <raph...@maunier.net>, frnog-tech <frnog-t...@frnog.org> Subject: Re: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours This message originated outside of NETSCOUT. Do not click links or open attachments unless you recognize the sender and know the content is safe. Bonjour Gaetan, Je confirme ton observation, les attaques se poursuivent. Hier nous avons de mitigé une attaque de 180 Gbps vers du paris en ligne. Il s’agit d’attaques par amplification TCP aussi appelée "SYN/ACK amplification attack". Sur la base d’un échantillon de quelques milliers de paquets durant une période de l’attaque (pas forcement représentatif de son intégralité) : - Uniquement des packet TCP SYN/ACK de 60 Bytes, - Repartition des ports src : 22 : 12,8% 25 : 10,7% 53 : 4% 80 : 29,8% 139 : 0,8% 443 : 32,8% 445 : 2% 465 : 1,8% 587 : 2,2% 3389 : 3,1% - Sources : extrêmement distribuées comme toujours pour ce type d’attaques du à la non adoption de technique d’anti-spoofing tel que BCP 38 sur les serveurs (https://www.bortzmeyer.org/bcp38.html), Du fait de son caractère asymétrique (flux retour TCP) et de l’asymétrie du routage BGP, le traitement de ces attaques en BGP flowspec rarement faisable et dépendra des implementations (un filtrage simple L4 ne donnera rien de bon). Ces attaques peuvent aussi cibler les machines d’état des FW's des hébergeurs car il faut vérifier, pour chaque SYN sortant que l’on ait le SYN/ACK correspondant. Ces attaques peuvent empêcher le site d’établir toutes sortes de connexions TCP et donc d’accéder à son CDN ou toutes autres ressources d’authentification externe, Pour autant, ce n’est pas véritablement une attaque par amplification au sens stricte car le facteur d’amplification est limité : x1 à x5 maximum. Donc, généralement ces attaques ne génèrent pas de très gros volumes. My 2 cents, Matthieu. [cid:AE2A5FF4-D1EC-43AE-8414-A4F933B3C25A@home] On 2 Nov 2019, at 11:37, Gaetan Allart <gae...@nexylan.com<mailto:gae...@nexylan.com>> wrote: Bonjour Guillaume, De mon observation (degré de conviction : 50%), quelqu'un s'amuse à arroser les classes publiques des hébergeurs avec des TCP-SYN dont l'IP source est forgée afin de diriger un max de ACK vers la destination. Les ports de destination sont : 80, 443, 465, 587 et 22. J'ai l'impression qu'en visant les classes d'hébergeurs, il se dit qu'il y a un maximum de chances d'avoir des IPs consécutives qui vont répondre. Je reste perplexe sur la méthode (la volumétrie du ACK) n'étant pas super intéressante. Les sources des SYN évoluent en permanence depuis vendredi : on a eu LOTTOMATICA, Winamax, Unibet, Eurobet et ce matin, c'est Alibaba. Les systèmes Anti-DDos (Arbor) ne voient rien du tout de notre côté... Gaëtan Le sam. 2 nov. 2019 à 02:40, Guillaume Barrot <guillaume.bar...@gmail.com<mailto:guillaume.bar...@gmail.com>> a écrit : Ca serait pas mal d'avoir un postmortem des concernés (Zayo, Acorus, Jaguar, Colt), qu'on puisse voir ce qui a tapé, quel débit, comment les solutions AntiDDOS se sont comportées ... Genre au prochain Frnog, une table ronde, des slides chiffrés, tout ça ... Le ven. 1 nov. 2019 à 07:08, Michel Py <mic...@arneill-py.sacramento.ca.us<mailto:mic...@arneill-py.sacramento.ca.us>> a écrit : Raphael, Tu pourrais nous donner quelques détails ? Cà vient d'IP réelles ou de spoofing ? Il y a combien d'IP sources ? 700G c'est pas de la rigolade. Bon courage. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ -- Gaetan Allart / CEO gae...@nexylan.com<mailto:gae...@nexylan.com> / 0609219512 Nexylan 274 Ter Avenue de la Marne 59700 Marcq-En-Baroeul www.nexylan.com<http://www.nexylan.com> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
