Trolldi : « Mon chat m'a alerté d'une attaque DDoS »

D'après Danny Guo

Le 15 avril 2024 à 16:53, par Jade Emy

12PARTAGES

Voici l'histoire de Danny Guo sur la nuit où son chat l'a alerté d'une attaque DDos.

Il y a quelques années, mon chat m'a fait vivre mon incident de génie logiciel le plus mémorable au milieu de la nuit. Je travaillais dans une startup, et nous n'avions pas encore de rotation formelle des astreintes. C'était une décision délibérée, car il est pénible d'être d'astreinte, et l'équipe se contentait de garder collectivement un œil sur les alertes urgentes. Nous avons fini par mettre en place une rotation de garde, mais avant cela, j'ai passé une nuit amusante.

Vers 3 heures du matin, je me suis réveillée parce que mon chat me toilettait les cheveux. Le toilettage en lui-même n'était pas inhabituel. Elle le faisait de temps en temps, et j'ai pris cela avec optimisme comme un signe qu'elle m'aimait bien et qu'elle ne se contentait pas de me tolérer. Voici son image :

Mais en 9 ans, c'est la seule fois où elle l'a fait pendant que je dormais. J'ai consulté mon téléphone pour voir quelle heure il était, et j'ai remarqué qu'une alerte AWS CloudWatch s'était déclenchée il y a quelques minutes à cause de cibles malsaines pour notre équilibreur de charge.

J'ai essayé d'aller sur notre site web, mais il ne s'est pas chargé. J'ai gémi et je me suis connecté à mon ordinateur portable professionnel. Notre tableau de bord de surveillance montrait un nombre massif de requêtes provenant de nombreuses adresses IP associées à différents pays. De toute façon, le trafic international n'était pas typique pour nous, puisque nos produits n'étaient disponibles qu'aux États-Unis. Il s'agissait d'une attaque par déni de service distribué (DDoS).

Ma première idée, qui n'était pas très bonne, a été de bloquer les adresses IP au niveau du serveur, ce qui aurait été fastidieux et peut-être inefficace si l'attaquant disposait d'un nombre beaucoup plus important d'adresses IP sources à utiliser. Puis je me suis souvenu que nous avions déjà mis en place le pare-feu d'application Web d'AWS. Pour faire face à la panne immédiate, j'ai établi une règle pour bloquer les requêtes provenant d'autres pays. Cette règle a pris effet et a bloqué des centaines de milliers de requêtes au cours de l'heure qui a suivi. Notre site web a recommencé à fonctionner et l'afflux de demandes a cessé.

Plus tard dans la matinée, nous avons remarqué que nous avions reçu un courriel dans la boîte de réception de notre service d'assistance à la clientèle à peu près au moment où l'attaque a commencé. Avec une grammaire horrible, l'expéditeur prétendait avoir trouvé une faille dans notre site web qui faisait planter Apache, que nous n'utilisions même pas. L'expéditeur a déclaré qu'il avait bloqué tout le trafic vers notre site web et qu'il pourrait continuer à le faire pendant des mois. Ils ont généreusement proposé de nous donner un "fichier de solution" si nous leur envoyions 5 000 dollars en bitcoins. Nous n'avons pas répondu, même si, rétrospectivement, il aurait pu être amusant d'essayer de les troller.

J'ai encore du mal à croire que mon chat m'ait réveillé au bon moment. On pourrait penser que l'alerte AWS a fait vibrer mon téléphone ou a émis un son, réveillant ainsi mon chat en premier. Mais je garde mon téléphone en mode "ne pas déranger" pendant la nuit. J'aime donc à penser que, d'une manière ou d'une autre, elle a senti que quelque chose n'allait pas et ne pouvait pas attendre le matin. C'était certainement une façon plus agréable d'être réveillé que par une alarme PagerDuty hurlante.

Source : Danny Guo

Et vous ?