Google Cloud bloquea el ataque DDoS más grande y rompe fácilmente el récord anterior de Cloudflare

En junio, Cloudflare informó que había detenido el mayor ataque de denegación de servicio distribuido (DDoS) en HTTPS, que se fijó en 26 millones de solicitudes por segundo (rps). Esto es más que su récord anterior de 15,3 millones de rps en abril. Avance rápido hasta agosto y Google ha anunciado que ahora lleva la corona por bloquear el mayor ataque DDoS de la historia.

En una publicación de blog de Google Cloud, la empresa dice que pudo bloquear un ataque DDoS que alcanzó los 46 millones de solicitudes por segundo, un 76 % más que Cloudflare. Para brindarle un poco de contexto sobre la escala de este ataque, imagine todas las consultas que se envían a Wikipedia en todo el mundo a diario, ahora imagine que se envían en 10 segundos, en lugar de distribuirse a lo largo del día.

Se realizó un ataque DDoS en un cliente de Google Cloud usando Cloud Armor. Google dice que tan pronto como el servicio detectó signos de una amenaza, alertó al cliente y recomendó una regla de protección para prevenir el peligro. Luego, esta regla se implementó antes de que las solicitudes alcanzaran su punto máximo, lo que significaba que el cliente continuaba en línea mientras Cloud Armor protegía su infraestructura y cargas de trabajo.

Google informa que el ataque comenzó en la madrugada del 1 de junio a un ritmo de 10.000 solicitudes por segundo, pero en ocho minutos aumentó a 100.000 solicitudes por segundo, tras lo cual funcionó la protección adaptativa de Cloud Armor. Dos minutos más tarde, las solicitudes por segundo aumentaron a 46 millones, pero el cliente ahora estaba seguro y funcionando. El ataque se detuvo en 69 minutos, probablemente porque no tuvo el efecto deseado debido a que Google Cloud Armor interfirió con él.

En su análisis del ataque general, Google señaló que:

Además del volumen de tráfico inesperadamente grande, el ataque tenía otras características destacables. El ataque involucró 5256 direcciones IP de origen de 132 países. Como puede ver en la Figura 2 anterior, los 4 principales países representan aproximadamente el 31 % de todo el tráfico de ataques. El ataque utilizó solicitudes cifradas (HTTPS), que requerirían recursos informáticos adicionales para generar. Si bien era necesario detener el cifrado para inspeccionar el tráfico y mitigar el ataque de manera efectiva, el uso de la canalización HTTP requería que Google realizara una cantidad relativamente pequeña de protocolos de enlace TLS.

Aproximadamente el 22% (1169) de las direcciones IP de origen correspondieron a nodos de salida Tor, aunque el volumen de solicitudes provenientes de estos nodos representó solo el 3% del tráfico de ataque. Si bien creemos que la participación de Tor en el ataque fue accidental debido a la naturaleza de los servicios vulnerables, incluso en un pico del 3 % (más de 1,3 millones de solicitudes por segundo), nuestro análisis muestra que los nodos de salida de Tor pueden enviar una cantidad significativa de tráfico no deseado a la web.- aplicaciones y servicios.

La distribución geográfica y los tipos de servicios inseguros usados ​​para llevar a cabo el ataque son consistentes con la familia de ataques Mēris. Conocido por sus ataques masivos que han batido récords DDoS, el método de Meris utiliza servidores proxy inseguros para ocultar el verdadero origen de los ataques.

Google advirtió que los atacantes a menudo usan DDoS para comprometer cargas de trabajo críticas. Por lo que la empresa recomendó una estrategia de protección detallada y obviamente el uso de Google Cloud Armor.