Google Cloud blockiert größten DDoS-Angriff und bricht mit Leichtigkeit den bisherigen Rekord von Cloudflare

Bereits im Juni berichtete Cloudflare, dass es den größten DDoS-Angriff (Distributed Denial-of-Service) auf HTTPS gestoppt hatte, der auf 26 Millionen Anfragen pro Sekunde (rps) festgelegt war. Das ist mehr als sein bisheriger Rekord von 15,3 Millionen U/s im April. Spulen wir in den August vor und Google hat angekündigt, dass es nun die Krone trägt, weil es den größten DDoS-Angriff der Geschichte blockiert hat.

In einem Google Cloud-Blogbeitrag sagt das Unternehmen, es sei in der Lage gewesen, einen DDoS-Angriff zu blockieren, der 46 Millionen Anfragen pro Sekunde erreichte, 76 % mehr als Cloudflare. Um Ihnen einen Kontext zum Ausmaß dieses Angriffs zu geben, stellen Sie sich vor, dass alle Anfragen täglich an Wikipedia auf der ganzen Welt gesendet werden, stellen Sie sich nun vor, dass sie innerhalb von 10 Sekunden gesendet werden, anstatt über den Tag verteilt.

Ein DDoS-Angriff wurde auf einem Google Cloud-Client mit Cloud Armor inszeniert. Google sagt, sobald der Dienst Anzeichen einer Bedrohung erkannte, warnte er den Client und empfahl eine Schutzregel, um die Gefahr zu verhindern. Diese Regel wurde dann bereitgestellt, bevor die Anfragen ihren Höhepunkt erreichten, was bedeutete, dass der Client weiterhin online blieb, während Cloud Armor seine Infrastruktur und Workloads schützte.

Google berichtet, dass der Angriff am frühen Morgen des 1. Juni mit einer Rate von 10.000 Anfragen pro Sekunde begann, sich aber in acht Minuten auf 100.000 Anfragen pro Sekunde erhöhte, wonach der adaptive Schutz von Cloud Armor funktionierte. Zwei Minuten später stiegen die Anfragen pro Sekunde auf 46 Millionen, aber der Client war jetzt sicher und betriebsbereit. Der Angriff stoppte innerhalb von 69 Minuten, wahrscheinlich weil er nicht die gewünschte Wirkung hatte, weil Google Cloud Armor ihn störte.

In seiner Analyse des gesamten Angriffs stellte Google Folgendes fest:

Neben dem unerwartet hohen Verkehrsaufkommen wies der Angriff weitere bemerkenswerte Merkmale auf. Der Angriff betraf 5256 Quell-IP-Adressen aus 132 Ländern. Wie Sie in Abbildung 2 oben sehen können, machen die Top-4-Länder ungefähr 31 % des gesamten Angriffsverkehrs aus. Der Angriff verwendete verschlüsselte Anfragen (HTTPS), für deren Generierung zusätzliche Rechenressourcen erforderlich wären. Während das Stoppen der Verschlüsselung notwendig war, um den Datenverkehr zu untersuchen und den Angriff effektiv einzudämmen, musste Google bei der Verwendung von HTTP-Pipelining eine relativ kleine Anzahl von TLS-Handshakes durchführen.

Ungefähr 22 % (1169) der Quell-IP-Adressen entsprachen Tor-Ausgangsknoten, obwohl das Volumen der von diesen Knoten kommenden Anfragen nur 3 % des Angriffsverkehrs ausmachte. Obwohl wir glauben, dass die Beteiligung von Tor an dem Angriff aufgrund der Art der anfälligen Dienste versehentlich war, zeigt unsere Analyse, dass Tor-Exit-Knoten eine erhebliche Menge an unerwünschtem Datenverkehr senden können, selbst bei einem Spitzenwert von 3 % (über 1,3 Millionen Anfragen pro Sekunde). das Web – Anwendungen und Dienste.

Die geografische Verteilung und die Art der unsicheren Dienste, die zur Durchführung des Angriffs verwendet wurden, stimmen mit der Mēris-Angriffsfamilie überein. Die Methode von Meris ist berüchtigt für ihre massiven Angriffe, die DDoS-Rekorde gebrochen haben, und verwendet unsichere Proxy-Server, um den wahren Ursprung der Angriffe zu verbergen.

Google hat davor gewarnt, dass Angreifer häufig DDoS verwenden, um kritische Workloads zu kompromittieren. Daher empfahl das Unternehmen eine detaillierte Schutzstrategie und offensichtlich den Einsatz von Google Cloud Armor.