Ένας πελάτης του Google Cloud Armor δέχτηκε επίθεση κατανεμημένης άρνησης υπηρεσίας (DDoS) μέσω του πρωτοκόλλου HTTPS που έφτασε τα 46 εκατομμύρια αιτήματα ανά δευτερόλεπτο (RPS), καθιστώντας το το μεγαλύτερο ποτέ ηχογραφημένο στο είδος του.
Σε μόλις δύο λεπτά, η επίθεση κλιμακώθηκε από 100.000 RPS σε 46 εκατομμύρια RPS, σχεδόν 80% περισσότερο από το προηγούμενο ρεκόρ, ένα HTTPS DDoS 26 εκατομμυρίων RPS που μετριάστηκε το Cloudflare τον Ιούνιο.
H επίθεση διήρκεσε 69 λεπτά
Η επίθεση ξεκίνησε το πρωί της 1ης Ιουνίου, στις 09:45 ώρα Ειρηνικού, και στόχευσε το HTTP/S Load Balancer του θύματος αρχικά με μόλις 10.000 RPS.
Σε οκτώ λεπτά, η επίθεση εντάθηκε στα 100.000 RPS και το Cloud Armor Protection της Google ξεκίνησε δημιουργώντας μια ειδοποίηση και υπογραφές με βάση ορισμένα δεδομένα που αντλήθηκαν από την ανάλυση της κυκλοφορίας.
Δύο λεπτά αργότερα, η επίθεση κορυφώθηκε στα 46 εκατομμύρια αιτήματα ανά δευτερόλεπτο: Η
επίθεση HTTPS DDoS κορυφώνεται στα 46 εκατομμύρια αιτήματα ανά δευτερόλεπτο
Για να δούμε πόσο μαζική ήταν η επίθεση στο αποκορύφωμά της, η Google λέει ότι ισοδυναμούσε με τη λήψη όλων τα καθημερινά αιτήματα στη Wikipedia σε μόλις 10 δευτερόλεπτα.
Ευτυχώς, ο πελάτης είχε ήδη αναπτύξει τον προτεινόμενο κανόνα από το Cloud Armor που επιτρέπει στις λειτουργίες να εκτελούνται κανονικά. Η επίθεση έληξε 69 λεπτά μετά την έναρξη της.
«Πιθανώς ο εισβολέας πιθανότατα διαπίστωσε ότι δεν είχε τον επιθυμητό αντίκτυπο, ενώ είχε σημαντικά έξοδα για την εκτέλεση της επίθεσης», αναφέρει μια αναφορά από τον Emil Kiner (Ανώτερο Διευθυντή Προϊόντων) και τον Satya Konduru (Τεχνικός Επικεφαλής) της Google.
Το κακόβουλο λογισμικό πίσω από την επίθεση δεν έχει ακόμη να προσδιοριστεί, αλλά η γεωγραφική κατανομή των υπηρεσιών που χρησιμοποιούνται παραπέμπει σε ένα Mēris, ένα botnet που είναι υπεύθυνο για επιθέσεις DDoS που κορυφώνονται στα 17,2 εκατομμύρια RPS και 21,8 εκατομμύρια RPS, και τα δύο ήταν ρεκόρ στην εποχή τους.
Ο Mēris είναι γνωστός για τη χρήση μη ασφαλών διακομιστών μεσολάβησης για την αποστολή κακής κυκλοφορίας, σε μια προσπάθεια να κρύψει την προέλευση της επίθεσης.
Οι ερευνητές της Google λένε ότι η επισκεψιμότητα προήλθε από μόλις 5.256 διευθύνσεις IP κατανεμημένες σε 132 χώρες και μόχλευση κρυπτογραφημένων αιτημάτων (HTTPS), υποδεικνύοντας ότι οι συσκευές που στέλνουν τα αιτήματα έχουν αρκετά ισχυρούς υπολογιστικούς πόρους.