Google neutraliza el mayor ataque DDoS HTTPS

Actualidad - Html - Php

30/08/2022

Descripción

Un cliente de Google Cloud Armor fue golpeado por un ataque DDoS (Distributed Denial of Service) utilizando el protocolo HTTPS, alcanzando un máximo histórico de 46 RPS (millones de solicitudes por segundo).

En solo dos minutos, el ataque pasó de 100 000 RPS a un récord de 46 millones de RPS, casi un 80 % más que el récord anterior, y en junio, Cloudflare redujo el rendimiento de HTTPS DDoS en 26 millones de RPS. El ataque duró 69 minutos; comenzó el 1 de junio a las 09:45 PT, apuntando al balanceador de carga HTTP/S de la víctima, e inicialmente solo tenía 10,000 RPS.

En ocho minutos, el ataque aumentó a 100 000 RPS y se activó la protección de Google Cloud Armor, generando alertas y firmas basadas en algunos datos del análisis de tráfico. Para ilustrar la escala del ataque en su apogeo, Google dijo que era el equivalente a recibir todas las consultas diarias a Wikipedia en 10 segundos.

Fuente: Google

Afortunadamente, el cliente ha implementado las reglas recomendadas por Yunjia y puede operar con normalidad. El ataque terminó 69 minutos después de que comenzara. "El atacante puede haber descubierto que esto no tuvo el efecto deseado, al tiempo que incurrió en costos significativos para ejecutar el ataque", escribieron en el informe Emil Keener (gerente senior de productos) y Satya Konduru (gerente técnico) de Google. 
 
El malware detrás del ataque aún no se ha identificado, pero la distribución geográfica de los servicios utilizados apunta a Plague, la botnet responsable de los ataques DDoS, que alcanzó los 17,2 millones de RPS y los 21,8 millones de RPS, que son sus registros actuales.
 
Se sabe que Plague envía tráfico malicioso a través de proxies inseguros en un intento de ocultar el origen de los ataques. Los investigadores de Google dijeron que el tráfico de ataque provenía de solo 5256 direcciones IP repartidas en 132 países y utilizaba solicitudes cifradas (HTTPS), lo que indica que el dispositivo que envió la solicitud tenía recursos informáticos bastante potentes.
 
Otra característica de este ataque es el uso de nodos de salida Tor para atravesar el tráfico. Aunque alrededor del 22 %, o 1169 fuentes, envían solicitudes a través de la red Tor, representan solo el 3 % del tráfico de ataques.
 
Sin embargo, los investigadores de Google creen que los nodos de salida de Tor se pueden usar para entregar "tráfico altamente no deseado" a aplicaciones y servicios web. A partir del año pasado, comenzó una era de ataques DDoS a gran escala sin precedentes, con algunas redes de bots utilizando una pequeña cantidad de dispositivos potentes para atacar múltiples objetivos.
 
En septiembre de 2021, la botnet Plague atacó al gigante ruso de Internet Yandex con un máximo de 21,8 millones de solicitudes por segundo. Anteriormente, la misma botnet realizó 17,2 millones de solicitudes por segundo a los clientes de Cloudflare.
 
En noviembre pasado, la plataforma de protección Azure DDoS de Microsoft redirigió un ataque masivo de 3,47 terabits por segundo a clientes en Asia a una tasa de paquetes de 340 millones de paquetes por segundo (pps).