TOOLinux

Le journal du Libre

Un pic historique d’attaques DDoS sous l’effet d’abus NTP

mercredi 7 mai 2014

NTP est un protocole reposant sur UDP et servant à synchroniser les horloges sur un réseau informatique. Tout service UDP (DNS, SNMP, NTP, chargen, RADIUS) est un vecteur potentiel d’attaques DDoS car il s’agit d’un protocole « sans connexion ».

Les adresses IP sources peuvent ainsi être usurpées par des pirates ayant pris le contrôle de systèmes hôtes infectés par des botnets, sur les réseaux non protégés par des mesures « antispoofing » élémentaires. NTP est très répandu en raison de son facteur élevé d’amplification (de l’ordre de 1000). En outre, les outils d’attaque sont de plus en plus accessibles, ce qui facilite l’exécution de ces attaques.

Faits marquants sur les attaques NTP

- Le trafic NTP moyen au niveau mondial, qui était de 1,29 Gbit/s en novembre 2013, a atteint 351,64 Gbit/s en février 2014.
- Si NTP intervient dans 14 % des attaques DDoS au total, cette méthode se retrouve dans 56 % et 84,7 % de celles dépassant respectivement 10 Gbit/s et 100 Gbit/s.
- Les Etats-Unis, la France et l’Australie ont été les cibles les plus fréquentes des attaques dans leur ensemble.
- Les Etats-Unis et la France ont été les pays les plus ciblés par les attaques de plus grande ampleur.