今年6月,Cloudflare報告遭遇有史以來最大規模的DDoS網絡攻擊,峰值每秒請求高達2600萬次。這刷新2021年8月創下的1720萬次和2022年4月創下的1530萬次。不過這個記錄在本月再次刷新,Google表示峰值達到每秒4600萬次。
在 Google Cloud 博文中,Google 表示峰值時每秒請求達到 4600 萬次,超過 Cloudflare 峰值的 76%。這次 DDoS 攻擊是針對使用 Cloud Armor 的 Google Cloud 客戶進行的。Google 表示,一旦服務檢測到威脅跡象,它就會提醒客戶並建議他們采取保護規則來抵禦危險。然後在請求達到峰值之前部署此規則,這意味著客戶繼續保持在線,而 Cloud Armor 保護他們的基礎設施和工作負載。
Google表示,攻擊於 6 月 1 日凌晨開始,速度為每秒 1 萬次請求,但在 8 分鐘後升至每秒 10 萬次請求,此時 Cloud Armor 自適應保護啟動。兩分鐘後,每秒請求數增加到 4600 萬,但客戶現在安全並繼續運營。攻擊在 69 分鐘內就消失,可能是因為被 Google Cloud Armor 挫敗而沒有達到預期的效果。
對於本次安全事件的事後分析,Google 表示
除出乎意料的高流量外,該攻擊還有其他值得註意的特征。這次攻擊有來自 132 個國傢的 5256 個源 IP。正如您在上面的圖 2 中看到的,前 4 個國傢/地區貢獻大約 31% 的總攻擊流量。
攻擊利用加密請求 (HTTPS),這將需要額外的計算資源來生成。雖然終止加密對於檢查流量和有效緩解攻擊是必要的,但使用 HTTP Pipelining 需要 Google 完成相對較少的 TLS 握手。
大約 22% (1,169) 的源 IP 對應於 Tor 出口節點,盡管來自這些節點的請求量僅占攻擊流量的 3%。雖然我們認為由於易受攻擊的服務的性質,Tor 參與攻擊是偶然的,但即使在峰值的 3%(大於 130 萬 rps)時,我們的分析表明 Tor 出口節點可以發送大量不受歡迎的流量到網絡應用程序和服務。
用於生成攻擊的不安全服務的地理分佈和類型與 Mēris 系列攻擊相匹配。 Mēris 方法以其破壞 DDoS 記錄的大規模攻擊而聞名,它濫用不安全的代理來混淆攻擊的真實來源。