Ένας πελάτης του Google Cloud Armor δέχτηκε επίθεση denial-of-service (DDoS) μέσω του πρωτοκόλλου HTTPS που έφτασε τα 46 εκατομμύρια αιτήματα ανά δευτερόλεπτο (RPS), καθιστώντας την τη μεγαλύτερη που έχει καταγραφεί ποτέ στο είδος της.
Σε μόλις δύο λεπτά, η επίθεση κλιμακώθηκε από 100.000 RPS σε 46 εκατομμύρια RPS, σχεδόν 80% περισσότερο από το προηγούμενο ρεκόρ, ένα HTTPS DDoS 26 εκατομμυρίων RPS που μετριάστηκε από το Cloudflare τον Ιούνιο.
Η επίθεση ξεκίνησε το πρωί της 1ης Ιουνίου, στις 09:45 ώρα Ειρηνικού και στόχευσε το HTTP/S Load Balancer του θύματος αρχικά με μόλις 10.000 RPS.
Σε οκτώ λεπτά, η επίθεση DDoS εντάθηκε στα 100.000 RPS και το Cloud Armor Protection της Google ξεκίνησε δημιουργώντας μια ειδοποίηση και signatures με βάση ορισμένα δεδομένα που αντλήθηκαν από την ανάλυση της κυκλοφορίας.
Δύο λεπτά αργότερα, η επίθεση κορυφώθηκε στα 46 εκατομμύρια αιτήματα ανά δευτερόλεπτο:
Για να δούμε πόσο μαζική ήταν η DDoS επίθεση στο αποκορύφωμά της, η Google λέει ότι ισοδυναμούσε με τη λήψη όλων των καθημερινών αιτημάτων στη Wikipedia σε μόλις 10 δευτερόλεπτα.
Δείτε επίσης: Διακόπηκε η λειτουργία του ρωσικού botnet RSocks
Ευτυχώς, ο πελάτης είχε ήδη πραγματοποιήσει την προτεινόμενη λύση από το Cloud Armor που επιτρέπει στις λειτουργίες να εκτελούνται κανονικά. Η επίθεση έληξε 69 λεπτά μετά την έναρξη της.
«Πιθανώς ο εισβολέας να διαπίστωσε ότι δεν είχε το επιθυμητό αντίκτυπο, ενώ υποβλήθηκε σε σημαντικά έξοδα για την εκτέλεση της επίθεσης», αναφέρει μια αναφορά από τον Emil Kiner (Senior Product Manager) της Google και τον Satya Konduru (Technical Lead).
Το malware πίσω από την DDoS επίθεση δεν έχει ακόμη προσδιοριστεί, αλλά η γεωγραφική κατανομή των υπηρεσιών που χρησιμοποιήθηκαν οδηγεί σε ένα Mēris, ένα botnet υπεύθυνο για επιθέσεις DDoS που κορυφώθηκαν στα 17,2 εκατομμύρια RPS και 21,8 εκατομμύρια RPS, και τα δύο ρεκόρ στην εποχή τους.
To Mēris είναι γνωστό για τη χρήση μη ασφαλών proxies για την αποστολή κακής κυκλοφορίας, σε μια προσπάθεια να κρύψει την προέλευση της επίθεσης.
Οι ερευνητές της Google λένε ότι η επισκεψιμότητα προήλθε από μόλις 5.256 διευθύνσεις IP κατανεμημένες σε 132 χώρες και παραποιημένα encrypted requests (HTTPS), υποδεικνύοντας ότι οι συσκευές που στέλνουν τα αιτήματα έχουν αρκετά ισχυρούς υπολογιστικούς πόρους.
«Αν και ο τερματισμός της κρυπτογράφησης ήταν απαραίτητος για την επιθεώρηση της κυκλοφορίας και τον αποτελεσματικό μετριασμό της επίθεσης, η χρήση του HTTP Pipelining απαιτούσε από την Google να ολοκληρώσει σχετικά λίγα TLS handshakes».
Ένα άλλο χαρακτηριστικό της επίθεσης είναι η χρήση Tor exit node για την παράδοση της κυκλοφορίας. Αν και σχεδόν το 22% ή 1.169 των πηγών διοχέτευσαν τα αιτήματα μέσω του δικτύου Tor, αντιστοιχούσαν μόλις στο 3% της κίνησης επιθέσεων.
Παρόλα αυτά, οι ερευνητές της Google πιστεύουν ότι τα Tor exit nodes θα μπορούσαν να χρησιμοποιηθούν για την παροχή «σημαντικού όγκου ανεπιθύμητης επισκεψιμότητας σε εφαρμογές και υπηρεσίες Ιστού».
Δείτε επίσης: Το νέο Go botnet Panchan εξαπλώνεται γρήγορα στα εκπαιδευτικά δίκτυα
Ξεκινώντας από πέρυσι, ξεκίνησε μια εποχή ογκομετρικών επιθέσεων DDoS που έσπασαν ρεκόρ με μερικά botnet που αξιοποιούσαν έναν μικρό αριθμό ισχυρών συσκευών για να χτυπήσουν διάφορους στόχους.
Τον Σεπτέμβριο του 2021, το botnet Mēris χτύπησε τον ρωσικό διαδικτυακό γίγαντα Yandex με μια επίθεση που κορυφώθηκε στα 21,8 εκατομμύρια αιτήματα ανά δευτερόλεπτο. Προηγουμένως, το ίδιο botnet ώθησε 17,2 εκατομμύρια RPS έναντι ενός πελάτη του Cloudflare.
Τον περασμένο Νοέμβριο, η πλατφόρμα προστασίας Azure DDoS της Microsoft μετρίασε μια τεράστια επίθεση με 3,47 terabit ανά δευτερόλεπτο με ρυθμό packet 340 εκατομμυρίων packets ανά δευτερόλεπτο (pps) για έναν πελάτη στην Ασία.
Ένας άλλος πελάτης του Cloudflare χτυπήθηκε με το DDoS να φτάνει τα 26 εκατομμύρια RPS.
Πηγή: bleepingcomputer.com
 μέσω του πρωτοκόλλου HTTPS που έφτασε...){kind=link}