Google: zablokowaliśmy najsilniejszy w historii IT webowy atak DDoS

Korporacja podała dopiero teraz, że udało jej się powstrzymać na początku czerwca tego roku webowy atak DDoS mający zablokować system IT należący do jednego z jej klientów, który w szczytowym momencie generował w ciągu jednej sekundy aż 48 mln żądań WWW.

Grafika: Jack-Moreh/Freerange

Chodzi o firmę, która korzysta z zaprojektowanej przez Google usługi bezpieczeństwa Cloud Armor DDoS. Haker bombardował przez ponad godzinę serwery należące do tej firmy żądaniami HTTPS, których z upływem czasu ciągle przybywało. Ataki takie są dla hakerów trudne do przeprowadzenia, gdyż cała komunikacja jest szyfrowana. Najpierw było to zaledwie 10 tys. żądań na sekundę, aby po pewnym czasie osiągnąć wielkość 100 tys. żądań na sekundę, w końcowej fazie sięgając prawie 46 mln żądań na sekundę.

Google twierdzi, że był to największy w historii atak przeprowadzony w warstwie 7 modelu OSI, znanej jako warstwa aplikacji. Jego siła była dwa razy większa od podobnego ataku odnotowanego nieco później przez firmę Cloudflare, którego siła osiągnęła w pewnym momencie wielkość 26 mln żądań na sekundę.

Zobacz również:

  • Trendy sieciowe w centrach danych do obserwacji w 2023 r.
  • Wirusy na Androida - popularne i niebezpieczne zagrożenia
  • Parlament Europejski padł ofiarą cyberataku

Badanie wykazało, że atak był przeprowadzony przez ponad 5 tys. urządzeń komputerowych zlokalizowanych w ponad 130 krajach. Google twierdzi, że rozkład geograficzny oraz rodzaje usług użytych do wygenerowania ataku wskazują na to, że za atak odpowiada botnet należący do rodziny Meris, który wykorzystuje do tego celu urządzenia IoT. Botnet ten stosuje prostą, aczkolwiek skuteczną technikę polegającą na zasypywaniu swej ofiary (czyli webowego serwera) prostymi żądaniami HTTTP, których jest tak wiele, żę serwer zawiesza się i odmawia w pewnym momencie świadczenia usług.

Firma Cloudflare przypisała przeprowadzony na nią atak o wielkości 26 mln żądań na sekundę botnetowi Mantis, który należy do tej samej grupy zagrożeń co Meris. Według Cloudflare, botnet Mantis zagnieździł się w maszynach wirtualnych i serwerach hostowanych przez firmy w chmurze, a nie w urządzeniach IoT o niskiej przepustowości, jak ma to miejsce w przypadku botnetu Meris.

Google zwrócił przy tym uwagę na fakt, że botnet Meris wykorzystywał niezabezpieczone serwery proxy, po to aby utrudnić badanie mające wykryć prawdziwe pochodzenie ataków.

Ciekawe jest przy tym to, że 22% adresów IP atakujących system IT pochodziło z sieci Tor, ale odsetek żądań pochodzących z tych węzłów stanowił zaledwie 3% całego ruchu generowane go przez atak.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200