« Les ingénieurs de Prolexic, le bouclier anti-DDoS racheté par Akamai en 2013, ont constaté la recrudescence d’une forme d’attaque par déni de services que l’on pensait abandonnée à ce jour. «  Ce vecteur d’attaque, qui implique l’utilisation du protocole de routage désuet RIPv1, a ressurgi de nouveau le 16 mai après avoir été en sommeil pendant plus d’un an, indique Bill Brenner du PLXsert, l’équipe du centre de recherches de Prolexis. Les dernières attaques observées […] font apparemment usage d’un petit nombre de d’appareils disponibles exploitant RIPv1. »

[...]

Conséquence, le PLXsert a constaté des attaques DDoS atteignant des pics de 12,8 Gbit/s à travers 500 routeurs affectés. Un volume qui pourrait s’élever à « 53 693 sources possibles » de levier d’attaques, précise le rapport détaillé d’Akamai. Les cyber-criminels peuvent également amplifier les attaques en élargissant la longueur des paquets de réponse jusqu’à 504 octets. « Nous avons identifié 24 212 appareils sur Internet qui offrent au moins un taux d’amplification de 83% », notent les auteurs du rapport.

Bill Brenner invite donc les administrateurs concernés à prendre des mesures défensives. Comment ? En basculant leurs routeurs en RIPv2, ou, si ce n’est pas possible, éviter d’exposer le RIP dans l’interface du réseau WAN. Ou encore d’utiliser ACL (access control lists) pour limiter l’usage du port 520 UDP (porte d’entrée de l’attaque) depuis Internet. Et si l’attaque est trop importante, le recours à un prestataire anti-DDoS (comme, au hasard, Akamai) peut devenir incontournable. Selon le fournisseur CDN, les routeurs Netopia fournis ou utilisés par AT&T sont les principaux appareils vecteurs de l’attaque RIPv1 et se concentrent aux Etats-Unis. »

RIPv1, excellent. :D
(Permalink)