Google: Sådan blokerede vi det største DDoS-angreb nogensinde

Katrine

Google Cloud fortæller, at de beskyttede en bruger mod et botnet-angreb, der nåede op på 46 millioner forespørgsler per sekund.

Google: Sådan blokerede vi det største DDoS-angreb nogensinde

Google Cloud har afsløret, at de har blokeret det største distributed denial-of-service (DDoS)-angreb, man nogensinde har kunnet påvise. Det nåede op på 46 millioner forespørgsler per sekund (rps).

Angrebet fandt sted 1. juni og var rettet mod en Google Cloud-bruger, der havde Google Cloud Armor DDoS beskyttelse.

46 millioner HTTPS-forspørgsler i sekundet

I løbet af 69 minutter bombarderede angriberne brugerens http/S Load Balancer med HTTPS-forespørgsler. Til at begynde med var det 10.000 rps, men inden for nogle minutter var det oppe på 100.000 rps og nåede på et tidspunkt helt op på 46 millioner rps.

I takt med at cyberangrebene bliver mere sofistikerede, sker oftere og har større konsekvenser, må også private selskaber og myndigheder følge trop.

Angrebet mod Googles kunde var næsten dobbelt så stort som det http DDoS-angreb, der ramte en Coludflare-kunde i juni, og som nåede op på 26 millioner rps. Det angreb benyttede en relativt lille botnet bestående af 5067 enheder fordelt i 127 lande.

Se også: Telefoner med bedst sikkerhed

DDoS-Angreb fra 132 lande

Angrebet på Googles kunde blev også udført via HTTPS, men benyttede ”HTTP Pipelining”, en teknik, der skal øge rps. Ifølge Google kom angrebet fra 5.256 kilde IP-adresser i 132 lande.

“Angrebet udnyttede krypterede forespørgsler (HTTPS), hvilket ville have krævet ekstra computerressourcer at generere,” siger Google.

“Selv om det var nødvendigt at afslutte krypteringen for at inspicere trafikken og effektivt afbøde angrebet, krævede brugen af HTTP Pipelining, at Google skulle gennemføre relativt få TLS-håndtryk.”

Et TLS-håndtryk eller -handshake gør det muligt for klienter og servere at etablere en sikker forbindelse og oprette sessionsnøgler.

Se også: Hvad skal man vide om cybersikkerhed?

Tor var inde over angrebet

Google nævner botnet udnyttede usikrede proxyer til at sløre, hvor angrebet egentlig kom fra. De nævner også, at omkring 22 procent eller 1.169 af kilde-IP’erne var tilsvarende Tor exitnodes, men mængden af forespørgsler fra de nodes udgjorde kun tre procent af trafikken i angrebet:

“Selv om vi mener, at Tors deltagelse i angrebet var tilfældig på grund af de sårbare tjenesters karakter, viser vores analyse, at selv med 3 procent af spidsbelastningen (over 1,3 millioner rps) viser vores analyse, at Tor-exit-noder kan sende en betydelig mængde uønsket trafik til webapplikationer og -tjenester.”

Se også: Nyheder om cyberangreb