Blocage automatique d’une attaque DDoS de 18 heures et 39 millions de requêtes

Les menaces de bots prennent de nombreuses formes, et c’est pourquoi une solution complète qui analyse chaque requête sur chaque point d’accès est essentielle pour détecter et bloquer l’activité malveillante. Par exemple, une solution choisie pour contrer le scraping peut également protéger efficacement contre une attaque massive de type DDoS.

Récemment, nous avons protégé le site web et l’application mobile d’un important client européen contre une attaque DDoS qui a duré plus de 18 heures, générant environ 39,3 millions de requêtes malveillantes. Ce client, qui utilise DataDome principalement pour contrer le scraping, a bénéficié de la protection intégrée de notre solution contre diverses attaques automatisées—y compris le scraping, le *credential stuffing*, le scalping, et les attaques DDoS.

Aperçu de l’attaque DDoS

Pour bien comprendre l’importance de prévenir les attaques de botnet ou l’impact d’un botnet à la demande, examinons cet exemple.

L’attaque a commencé un vendredi soir et s’est poursuivie jusqu’au samedi, durant plus de 18 heures avec deux vagues d’attaque :

• 1ère vague : Vendredi soir de ~18h00 à ~0h00 (CEST)
• 2ème vague : Samedi matin de ~10h00 à 12h00

La première vague a représenté le plus fort volume de trafic, générant jusqu’à 1,5 million de requêtes par minute avec un total de 29,375 millions de requêtes de bots.

Comme la plupart des attaques DDoS, celle-ci était extrêmement distribuée. L’attaquant s’appuyait sur un botnet de plus de 11 000 adresses IP distinctes, provenant de 1 500 systèmes autonomes répartis dans 138 pays. Cela rendait inefficace toute stratégie de limitation de débit par IP ou de blocage géographique. De plus, bien que le site soit européen, ses clients sont dispersés à l’international, et bloquer certains pays aurait nui à l’expérience utilisateur.

En analysant le nombre d’adresses IP actives lors des pics de trafic, nous avons constaté que plus de 5 000 adresses IP étaient utilisées simultanément pour générer des requêtes lors de chaque pic.

Les requêtes provenaient du monde entier, principalement des États-Unis (24 millions), du Honduras (3,4 millions), de l’Allemagne (2 millions) et du Canada (1,7 million). La carte ci-dessous montre les emplacements des adresses IP impliquées dans cette attaque DDoS :

Les requêtes provenaient majoritairement de systèmes autonomes de faible qualité, souvent associés à des data centers ou régulièrement utilisés dans des attaques. Voici un graphique montrant le nombre de requêtes par système autonome (AS) :

Bien que le bot ait utilisé des centaines de *user agents* et d’en-têtes HTTP variés pour éviter la détection, il affichait une empreinte TLS unique pendant les deux vagues de l’attaque. Nos analyses montrent que cette empreinte est liée à la bibliothèque NodeJS “got”.

Conclusion

Bien que ce client ait initialement choisi la solution DataDome pour contrer le scraping, notre protection a également permis de neutraliser une attaque DDoS majeure. Grâce à la défense intégrée de DataDome contre de nombreuses attaques automatisées, nos clients bénéficient d’une protection automatique même face à des menaces inattendues, comme les attaques DDoS.