Comment HTML5 Ping est utilisé dans les attaques DDoS
dans

Comment HTML5 Ping est utilisé dans les attaques DDoS

Note : Imperva est une société de logiciels et de services de cybersécurité qui assure la protection des données d'entreprise et des logiciels d'application

Imperva à découvert une nouvelle attaque dans laquelle des pirates informatiques ont abusé d'un attribut HTML5 communément utilisé, pour lancer une attaque DDoS qui a généré 70 millions de requêtes sur un site Web cible en l'espace de quatre heures.

Un nouveau type d'attaque par déni de service distribué (DDoS) exploite un attribut HTML5 commun pour submerger les victimes ciblées. La société de sécurité Imperva a annoncé le 11 avril dernier avoir découvert une campagne au cours de laquelle des pirates informatiques avaient abusé de l' attribut HTML5 associé à une balise ping lors d'une attaque DDoS qui avait généré 70 millions de requêtes en quatre heures.

L'attribut ping est destiné à être utilisé par les sites Web en tant que mécanisme pour notifier un site Web si un utilisateur suit un lien donné sur une page.

Généralement, un ping est une action unique, mais Imperva a découvert que les pirates informatiques avaient trouvé un moyen de l’amplifier en un flux de données plus persistant, déclenchant l’attaque DDoS.

"L'agresseur, utilisant probablement l'ingénierie sociale, a obligé les utilisateurs à visiter un site Web contenant du code JavaScript malveillant", a déclaré Vitaly Simonovich, responsable de la recherche en sécurité chez Imperva, à eWEEK.

"Ce script a généré des liens avec le site cible dans l'attribut "ping "et l'a cliqué sans implication personnelle de l'utilisateur. Les clics générés automatiquement sont renvoyés à la victime, de manière continue, pendant tout le temps que l'utilisateur est resté sur la page Web."

Lorsque l'utilisateur clique sur le lien hypertexte, une demande POST portant le corps «ping» est envoyée aux URL spécifiées dans l'attribut.

Il inclura également les en-têtes «Ping-From», «Ping-To» et un type de contenu «text / ping». "Nous observons des attaques DDoS quotidiennement", a déclaré Simonovich.

"Nous avons découvert cette attaque le mois dernier. Cependant, lorsque nous avons examiné nos journaux, nous avons constaté que la première attaque de notre réseau, en décembre 2018, utilisait la fonctionnalité ping."

L'attaque découverte par Imperva a pu utiliser 4 000 adresses IP d'utilisateurs, dont une grande partie en provenance de Chine.

La campagne a duré quatre heures et a atteint un pic de 7 500 requêtes par seconde (RPS). Plus de 70 millions de requêtes au total sur le site Web de la victime.

Comment l'attaque de ping submerge-t-elle un serveur

Un simple ping ne suffit pas à perturber un serveur Web. En fait, les demandes de base sollicitent régulièrement les serveurs Web.

Les requêtes Ping ont également une faible bande passante et ne pourraient probablement pas constituer une attaque DDoS volumétrique, qui vise à saturer la bande passante disponible d'un serveur cible.

L’attaque DDoS découverte par Imperva n’était toutefois pas un ping de base et, selon Simonovich, pourrait avoir un impact sur un serveur d’applications Web de différentes manières: En ciblant le serveur Web à l’aide de RPS élevés, le serveur sera forcé de traiter l’attaque DDoS et pas gérer le trafic légitime.

Le ciblage de l'application Web en recherchant entraînera une consommation élevée de ressources. Par exemple, le formulaire de connexion provoquera une interrogation de la base de données.

"L’attaque est réalisée sur la couche d’application destinée à obstruer les ressources du serveur en traitant plusieurs requêtes HTTP", a expliqué Simonovich.

"En tant que tel, la bande passante d'attaque n'est pas la ressource la plus faible de la chaîne, mais le processeur ou la mémoire du serveur."

Il a ajouté que 7.500 RPS est loin d’être la plus puissante des attaques DDoS d’applications, pouvant atteindre 100 000 RPS et plus, mais elle suffit pour empêcher la disponibilité d’un site Web de taille moyenne.

Défense contre les attaques par DDoS Ping

Les organisations peuvent faire plusieurs choses pour réduire le risque d'attaque DDoS par Ping. I

mperva recommande aux entreprises qui n'ont pas besoin de recevoir de requêtes ping sur un serveur Web de bloquer les requêtes Web contenant des en-têtes HTTP «Ping-To» et / ou «Ping-From» sur les périphériques périphériques (pare-feu, WAF, etc.).

Les services anti-DDoS, y compris celui proposé par Imperva, peuvent également être utilisés pour limiter les risques.

"Les attaquants recherchent en permanence de nouvelles méthodes sophistiquées pour exploiter les services légitimes et contourner les mécanismes d'atténuation", a déclaré M. Simonovich.

"L’utilisation de la fonctionnalité ping en est un bon exemple, d’autant plus que la plupart des navigateurs le supportent par défaut. Le problème consiste à forcer les utilisateurs légitimes à consulter la page malveillante et à y rester aussi longtemps que possible. pour que l'attaque dure plus longtemps."

Zoom sur les langages de programmation les plus utiles en 2019

La nouvelle tendance des pure players : ouvrir des boutiques physiques