DataDome

Comment DataDome a protégé un site web d’actualités américaines lors d’une attaque DDoS de 12 heures

Table des matières
DDoS
Antoine Vastel, VP of Research
19 Sep, 2024
|
min

Dans cet article, nous détaillons une importante attaque DDoS qui a ciblé un site d’actualités américain bien connu. À la fin de cette attaque, qui a duré 12 heures, plus de 1,85 milliard de requêtes avaient été bloquées grâce à la protection de DataDome. En raison du volume élevé des requêtes de bots — atteignant 2,87 millions de requêtes par minute à son pic — le mécanisme anti-DDoS de DataDome s’est activé. Ce mécanisme nous permet de protéger efficacement les sites web, applications mobiles et API contre les pics soudains de trafic.

Chiffres clés

Pendant 12 heures, du 8 juillet à 14h30 CEST au 9 juillet à 2h00, la page d’accueil et les URL des contenus/articles d’un site d’actualités américain ont été la cible d’une attaque DDoS.

3 3 4 8 1
3
1 6 5 4 7
1
1 4 3 0 4
1
K 1 6 7 3
K
adresses IP chacune effectuant en moyenne 5 900 requêtes.
1 8 1 9 2
1
, 2 6 6 9
,
8 3 2 4 5
8
5 1 9 3 7
5
milliard au total de requêtes générées par l'attaquant.
2 1 5 6 6
2
, 5 3 7 0
,
8 6 3 3 9
8
7 3 3 8 1
7
millions de requêtes par minute vitesse maximale au pic.

Vue d’ensemble de l’attaque DDoS

Le graphique ci-dessous (image 1) représente le trafic de bots géré par notre moteur de détection tout au long des 12 heures d’attaque, par intervalles de 30 minutes. L’attaque a atteint un pic de 86 millions de requêtes toutes les 30 minutes, avec environ 55 000 requêtes par seconde au début de l’attaque.

Figure 1: Nombre de requêtes de bots gérées par le moteur de détection de DataDome au fil du temps pendant l'attaque.

Image 1: nombre de requêtes de bots gérées par le moteur de détection de DataDome au fil du temps pendant l’attaque.

Répartition de l’attaque

L’attaque s’est répartie sur environ 311 000 adresses IP. Le graphique ci-dessous (image 2) représente le nombre distinct d’adresses IP de bots pendant l’attaque.

Figure 2 : Nombre d'adresses IP utilisées dans l'attaque toutes les 30 minutes.

Image 2 : nombre d’adresses IP utilisées dans l’attaque toutes les 30 minutes.

On peut voir qu’à tout moment, l’attaquant avait accès à entre 120 000 et 140 000 adresses IP distinctes pour mener son attaque.

Indicateurs de compromission (IoC) de l’attaque

Bien que l’attaquant ait principalement utilisé des IP résidentielles appartenant à des FAI bien connus tels que Charter Communications, Time Warner Cable et Turk Telekom, certaines similarités se retrouvent dans les requêtes :

  • Chaque bot utilisait le même user-agent Android webview : Mozilla/5.0 (Linux; Android 9; LIO-AN00 Build/PQ3A.190705.11031332; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/91.0.4472.114 Safari/537.36
  • Les bots utilisaient des langues acceptées chinoises : zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7 et zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2.
  • Les bots présentaient une empreinte TLS incohérente et unique, qui ne se retrouvait pas parmi les autres clients que nous protégeons.
  • Les bots n’exécutaient pas JavaScript sur aucune requête, mais prenaient en charge les cookies.

Comment l’attaque a-t-elle été bloquée ?

Grâce à notre approche de détection multi-couches, l’attaque a été bloquée en utilisant différentes catégories de signaux indépendants. Ainsi, si l’attaquant avait modifié une partie de son bot (par exemple, l’empreinte ou le comportement), il aurait probablement été détecté par d’autres signaux et méthodes.

Les principaux signaux et méthodes de détection étaient les suivants :

  • absence d’exécution de JavaScript : l’attaquant n’a jamais envoyé aucune des charges utiles JS, ni via notre tag JS ni via notre page de vérification d’appareil ;
  • nouvelles sessions récentes : les requêtes provenaient de sessions fraîchement créées, ce qui signifie que les requêtes n’avaient pas le temps de construire une session de navigation « humaine » ;
  • empreinte numérique : notre moteur a détecté des empreintes digitales incohérentes et anormales, telles que les en-têtes HTTP et les empreintes TLS ;
  • détection de proxy : nous avons pu identifier que l’attaquant utilisait des proxys pour faire ses requêtes ;
  • détection d’anomalies au niveau du site web : cette attaque a déclenché une approche que nous avons présentée à Black Hat Asia 2023, qui a automatiquement identifié la partie malveillante du trafic liée à l’attaque DDoS et généré des modèles de blocage dynamiques.

Conclusion

Les attaques DDoS représentent un véritable fléau pour la plupart des entreprises opérant en ligne. Elles sont souvent très médiatisées et ont un impact instantané sur les revenus, la réputation de la marque et l’expérience client.

Le puissant moteur de détection multi-couches de DataDome, basé sur l’apprentissage automatique, analyse un maximum de signaux, des empreintes numériques à la réputation, pour détecter même les bots les plus sophistiqués. Suivre l’évolution des empreintes des bots, telles que l’utilisation de proxys, est essentiel pour lutter contre les menaces actuelles, et DataDome est parfaitement capable de le faire.

Lorsque notre système détecte une attaque DDoS en cours, nos mécanismes anti-DDoS permettent une protection à l’échelle, peu importe le nombre de requêtes envoyées par l’attaquant. Pour en savoir plus sur la manière dont DataDome arrête les attaques DDoS, réservez une démo dès aujourd’hui.

DataDome
Antoine Vastel
VP of Research
Antoine Vastel est vice-président de la recherche chez DataDome, où il supervise le SOC et l'équipe de recherche sur les menaces. À ce titre, il se concentre sur l'amélioration du moteur de détection des bots en temps réel de DataDome à travers différentes approches, notamment la détection comportementale, l'empreinte digitale HTTP/navigateur, la détection des proxys/IP infectés et la détection des fermes à CAPTCHA. Antoine est titulaire d'un doctorat en informatique avec une spécialisation dans l'empreinte digitale des navigateurs.

Articles liés