Google Cloud bloqueia o maior ataque DDoS, quebra facilmente o recorde anterior da Cloudflare

Em junho, a Cloudflare informou que havia interrompido o maior ataque distribuído de negação de serviço (DDoS) em HTTPS, que estava atrelado a 26 milhões de solicitações por segundo (rps). Isso é mais do que seu recorde anterior de 15,3 milhões de rps em abril. Avançando para agosto e o Google anunciou que agora usa a coroa por bloquear o maior ataque DDoS da história.

Em uma postagem no blog do Google Cloud, a empresa diz que conseguiu bloquear um ataque DDoS que atingiu 46 milhões de solicitações por segundo, 76% a mais que o Cloudflare. Para lhe dar algum contexto sobre a escala deste ataque, imagine todas as consultas sendo enviadas para a Wikipedia em todo o mundo diariamente, agora imagine que elas são enviadas em 10 segundos, em vez de distribuídas ao longo do dia.

Um ataque DDoS foi realizado em um cliente do Google Cloud usando o Cloud Armor. O Google diz que assim que o serviço detectou sinais de uma ameaça, alertou o cliente e recomendou uma regra de proteção para evitar o perigo. Essa regra foi implantada antes do pico das solicitações, o que significava que o cliente continuava online enquanto o Cloud Armor protegia sua infraestrutura e cargas de trabalho.

O Google relata que o ataque começou no início da manhã de 1º de junho a uma taxa de 10.000 solicitações por segundo, mas em oito minutos aumentou para 100.000 solicitações por segundo, após o que a proteção adaptativa do Cloud Armor funcionou. Dois minutos depois, as solicitações por segundo aumentaram para 46 milhões, mas o cliente agora estava seguro e funcionando. O ataque parou em 69 minutos, provavelmente porque não teve o efeito desejado devido à interferência do Google Cloud Armor.

Em sua análise do ataque geral, o Google observou que:

Além do volume de tráfego inesperadamente grande, o ataque teve outras características dignas de nota. O ataque envolveu 5.256 endereços IP de origem de 132 países. Como você pode ver na Figura 2 acima, os 4 principais países respondem por aproximadamente 31% de todo o tráfego de ataque. O ataque usou solicitações criptografadas (HTTPS), que exigiriam recursos computacionais adicionais para serem gerados. Embora a interrupção da criptografia fosse necessária para inspecionar o tráfego e mitigar efetivamente o ataque, o uso do pipeline HTTP exigia que o Google realizasse um número relativamente pequeno de handshakes TLS.

Aproximadamente 22% (1169) dos endereços IP de origem correspondiam a nós de saída do Tor, embora o volume de solicitações provenientes desses nós representasse apenas 3% do tráfego de ataque. Embora acreditemos que o envolvimento do Tor no ataque foi acidental devido à natureza dos serviços vulneráveis, mesmo no pico de 3% (mais de 1,3 milhão de solicitações por segundo), nossa análise mostra que os nós de saída do Tor podem enviar uma quantidade significativa de tráfego indesejado para a Web. – aplicações e serviços.

A distribuição geográfica e os tipos de serviços inseguros usados ​​para realizar o ataque são consistentes com a família de ataques Mēris. Notório por seus ataques maciços que quebraram recordes de DDoS, o método de Meris usa servidores proxy inseguros para ocultar a verdadeira origem dos ataques.

O Google alertou que os invasores costumam usar DDoS para comprometer cargas de trabalho críticas. Assim, a empresa recomendou uma estratégia de proteção detalhada e, obviamente, o uso do Google Cloud Armor.