DataDome

Comment DataDome a protégé une plateforme d’e-learning de premier plan contre une attaque DDoS massive

Table des matières
DDoS
Antoine Vastel, VP of Research
18 Mar, 2024
|
min

Dans cet article, nous couvrons les détails d’une attaque DDoS massive sur une plateforme d’e-learning leader aux États-Unis. En raison du volume des requêtes, le mécanisme anti-DDoS de DataDome a été déclenché. Ce mécanisme nous permet de protéger efficacement les sites web, les applications mobiles et les API contre les pics de trafic soudains.

Indicateurs clés

Du 7 mars à 19:30 UTC au 8 mars 2024 à 4:20 UTC, la page d’accueil de la plateforme d’e-learning a été ciblée par une attaque DDoS massive. Environ 380 millions de requêtes ont été gérées par notre moteur de détection de bots avant que le mode anti-DDoS ne soit déclenché. L’anti-DDoS a pris le relais : plus de 1,7 milliard de requêtes.

3 9 4 2 8
3
6 9 5 0 0
6
k 7 2 3 0
k
adresses IP chacune faisant en moyenne 55k requêtes.
P 4 9 4 0
P
l 2 9 5 6
l
u 4 0 6 4
u
s 9 2 4 8
s
7 8 5 6
d 4 4 7 2
d
e 9 3 4 1
e
4 5 8 0
2 6 1 5 5
2
milliards de requêtes totales générées par l'attaquant.
8 2 0 9 9
8
0 9 4 9 1
0
9 9 8 8 2
9
k 6 6 2 9
k
requêtes par minute de vitesse maximale au pic.

Aperçu de l’attaque DDoS

Le graphique ci-dessous (image 1) représente le trafic des bots géré au cours de l’attaque par notre mécanisme anti-DDoS.

mode anti-ddos plateforme d'e-learning

Image 1 : nombre de bots bloqués par notre mécanisme anti-DDoS pendant l’attaque

Comme on peut le voir, le volume des requêtes est resté relativement stable tout au long de l’attaque, bien qu’il y ait une nette augmentation vers le pic (809 000 requêtes par minute) avant qu’il ne diminue.

Indicateurs de compromission de l’attaque (IoC)

L’attaquant a utilisé différents user-agents de navigateurs mobiles :

  • Mozilla/5.0 (Linux; Android 10; TECNO BC2 Build/QP1A.190711.020) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.110 Mobile Safari/537.36
  • Mozilla/5.0 (Linux; Android 6.0; CPH1609) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.5249.126 Mobile Safari/537.36 OPR/72.2.3767.68393
  • Mozilla/5.0 (Linux; Android 8.0.0; SM-A520F) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.0.0 Mobile Safari/537.36
  • Mozilla/5.0 (Linux; Android 12; RMX2161) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Mobile Safari/537.36

L’attaquant a ciblé la page d’accueil, ce qui est courant dans les attaques DDoS car la plupart des sites web tendent à la protéger moins. De plus :

  • L’attaquant a utilisé une signature linguistique unique : es-AR,es;q=0.8,en-US;q=0.5,en;q=0.3.
  • Tous les bots avaient le même en-tête accept : text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8.
  • Tous les bots avaient le même en-tête accept-encoding : gzip, deflate, br.

Le bot était basé sur un client HTTP (pas un navigateur réel/headless) et n’exécutait pas de JS ou ne supportait pas correctement les cookies.

Comment l’attaque a-t-elle été bloquée ?

L’attaque a été bloquée en utilisant une variété de signaux suspects :

  • Manque d’exécution de JS : l’attaquant n’a envoyé aucun des payloads JS attendus.
  • Manque de cookie de session DataDome : il n’y avait pas de support de cookie DataDome, ce que nous attendrions de vrais utilisateurs.
  • Détection de proxy : de nombreuses IP impliquées dans l’attaque provenaient d’IP de proxy connues.
  • Comportement anormal des adresses IP : il y avait beaucoup trop de requêtes par adresse IP.
  • Détection d’anomalies : notre mécanisme anti-DDoS a détecté un changement dans la distribution de plusieurs mesures au niveau du site web (nombre d’IP distinctes sans cookies, par exemple) et a généré des motifs de blocage dynamiques.

Conclusion

Les attaques DDoS sont le fléau de la plupart des entreprises qui opèrent en ligne ; elles sont généralement très médiatisées et ont des impacts négatifs immédiats sur les revenus, la réputation de la marque et l’expérience client. Le puissant moteur de détection ML multicouches de DataDome examine autant de signaux que possible, des empreintes digitales à la réputation, pour détecter même les bots les plus sophistiqués. Il est essentiel de suivre l’évolution des empreintes digitales des bots, comme l’utilisation de proxy, pour lutter contre les menaces actuelles – et DataDome peut le faire.

Lorsque notre système détecte une attaque DDoS en cours, nos mécanismes anti-DDoS permettent une protection qui s’adapte parfaitement, peu importe le nombre de requêtes envoyées par l’attaquant. Pour mieux comprendre comment DataDome arrête les attaques DDoS, planifiez une démo aujourd’hui.

DataDome
Antoine Vastel
VP of Research
Antoine Vastel est vice-président de la recherche chez DataDome, où il supervise le SOC et l'équipe de recherche sur les menaces. À ce titre, il se concentre sur l'amélioration du moteur de détection des bots en temps réel de DataDome à travers différentes approches, notamment la détection comportementale, l'empreinte digitale HTTP/navigateur, la détection des proxys/IP infectés et la détection des fermes à CAPTCHA. Antoine est titulaire d'un doctorat en informatique avec une spécialisation dans l'empreinte digitale des navigateurs.

Articles liés