Google Cloud blocca il più grande attacco DDoS, batte facilmente il record precedente di Cloudflare

A giugno, Cloudflare ha riferito di aver fermato il più grande attacco DDoS (Distributed Denial-of-Service) su HTTPS, che era ancorato a 26 milioni di richieste al secondo (rps). Questo è più del suo precedente record di 15,3 milioni di rps ad aprile. Avanti veloce ad agosto e Google ha annunciato che ora indossa la corona per aver bloccato il più grande attacco DDoS della storia.

In un post sul blog di Google Cloud, l’azienda afferma di essere stata in grado di bloccare un attacco DDoS che ha raggiunto 46 milioni di richieste al secondo, il 76% in più rispetto a Cloudflare. Per darti un po’ di contesto sull’entità di questo attacco, immagina che tutte le query inviate a Wikipedia in tutto il mondo su base giornaliera, ora immagina che vengano inviate entro 10 secondi, anziché distribuite nell’arco della giornata.

Un attacco DDoS è stato organizzato su un client Google Cloud utilizzando Cloud Armor. Google afferma che non appena il servizio ha rilevato segni di una minaccia, ha avvisato il cliente e ha raccomandato una regola protettiva per prevenire il pericolo. Questa regola è stata quindi implementata prima che le richieste raggiungessero il picco, il che significava che il client continuava a rimanere online mentre Cloud Armor proteggeva la sua infrastruttura e i carichi di lavoro.

Google riferisce che l’attacco è iniziato la mattina presto del 1 giugno a una velocità di 10.000 richieste al secondo, ma in otto minuti è aumentato a 100.000 richieste al secondo, dopodiché la protezione adattiva di Cloud Armor ha funzionato. Due minuti dopo, le richieste al secondo sono aumentate a 46 milioni, ma il client ora era sicuro e funzionante. L’attacco si è fermato entro 69 minuti, probabilmente perché non ha avuto l’effetto desiderato a causa dell’interferenza di Google Cloud Armor con esso.

Nella loro analisi dell’attacco complessivo, Google ha osservato che:

Oltre al volume di traffico inaspettatamente elevato, l’attacco ha avuto altre caratteristiche degne di nota. L’attacco ha coinvolto 5256 indirizzi IP di origine provenienti da 132 paesi. Come puoi vedere nella Figura 2 sopra, i primi 4 paesi rappresentano circa il 31% di tutto il traffico di attacco. L’attacco utilizzava richieste crittografate (HTTPS), che richiederebbero risorse di elaborazione aggiuntive per essere generate. Sebbene fosse necessario interrompere la crittografia per ispezionare il traffico e mitigare efficacemente l’attacco, l’utilizzo del pipelining HTTP richiedeva a Google di eseguire un numero relativamente piccolo di handshake TLS.

Circa il 22% (1169) degli indirizzi IP di origine corrispondeva ai nodi di uscita di Tor, sebbene il volume delle richieste provenienti da questi nodi rappresentasse solo il 3% del traffico di attacco. Sebbene riteniamo che il coinvolgimento di Tor nell’attacco sia stato accidentale a causa della natura dei servizi vulnerabili, anche con un picco del 3% (oltre 1,3 milioni di richieste al secondo), la nostra analisi mostra che i nodi di uscita di Tor possono inviare una quantità significativa di traffico indesiderato a il Web. – applicazioni e servizi.

La distribuzione geografica e i tipi di servizi non sicuri utilizzati per eseguire l’attacco sono coerenti con la famiglia di attacchi Mēris. Noto per i suoi attacchi massicci che hanno infranto record DDoS, il metodo di Meris utilizza server proxy non sicuri per nascondere la vera origine degli attacchi.

Google ha avvertito che gli aggressori utilizzano spesso DDoS per compromettere i carichi di lavoro critici. Quindi l’azienda ha consigliato una strategia di protezione dettagliata e ovviamente l’utilizzo di Google Cloud Armor.