L'année dernière, une attaque par déni de service distribué avait visé Spamhaus. Il était alors question de la plus grosse attaque DDoS de l'histoire avec jusqu'à 300 Gbps de trafic de données issu de 30 000 clients DNS uniques afin d'inonder les serveurs du projet antispam.
Comme l'année dernière, c'est le service de diffusion de contenus et fournisseur de sécurité CloudFare qui a signalé l'attaque massive mais n'a pas l'autorisation de divulguer les clients qui ont été pris pour cible. Outre l'Europe, des centres de données aux USA ont aussi été touchés mais dans une moindre mesure.
Avec le peu de détails donnés, on pourrait suspecter CloudFare de se faire un peu de pub mais le même jour, OVH a également signalé une attaque sur son réseau qui a dépassé les 350 Gbps. Il n'est pas contre pas établi que les deux attaques soient liées. Arbor Networks confirme de son côté une attaque qui a visé " une cible en France " et " culminant à 325 Gbps ".
Pour le PDG de CloudFare qui s'est notamment adressé via un tweet au directeur général et fondateur d'OVH, " quelqu'un a un gros et nouveau canon ".
@noone1337 @olesovhcom someone's got a big, new cannon. Start of ugly things to come.
— Matthew Prince (@eastdakota) 11 Février 2014
Contrairement à l'attaque DDoS à l'encontre de Spamhaus qui avait tiré parti du protocole Domain Name Service, celle à plus de 400 Gbps s'est appuyée sur le protocole NTP. Network Time Protocol est un protocole réseau utilisé pour synchroniser les horloges locales d'ordinateurs.
Le mois dernier, l'US-CERT et le CERT-FR avaient publié des alertes au sujet d'une attaque dite d'amplification NTP qui exploitait des versions vulnérables du processus ntpd (un correctif existe) pour un DDoS via des serveurs NTP publics afin de submerger des systèmes avec du trafic UDP. Elle avait notamment paralysé des serveurs de jeu (League of Legends, EA.com, Battle.net...).
