Google Cloud в июне удалось отразить крупнейшую в истории DDoS-атаку, интенсивность которой достигала 46 млн запросов в секунду (RPS). Атака продолжалась немногим более часа, но позволила экспертам сделать важные выводы: одной из угроз сегодня могут быть даже узлы Tor.
Источник изображений: cloud.google.com
В попытке описать масштабы инцидента сотрудники Google Эмиль Кинер (Emil Kiner) и Сатья Кондуру (Satya Konduru) предложили представить, что значит обрабатывать все поступающие за один день запросы к «Википедии» (входит в десятку самых посещаемых сайтов в мире) всего за 10 секунд. Экспертов Google и других специалистов по кибербезопасности всерьёз беспокоит тот факт, что ситуация с DDoS-атаками неуклонно усугубляется — они производятся всё чаще, а их интенсивность растёт.
Атака на ресурсы Google Cloud началась в 09:45 по времени Тихоокеанского побережья США (19:45 мск) с интенсивности 10 тыс. RPS, а уже через 8 минут усилилась до 100 тыс. RPS. Ещё через 2 минуты она достигла пиковых 46 млн RPS. К тому времени служба защиты Google Cloud Armor обнаружила факт атаки и рекомендовала клиентам внедрить в политику безопасности запросы с вредоносной сигнатурой. После этого атака пошла на спад и окончательно завершилась в 10:54 по местному времени (20:54 мск). Сотрудники Google отметили некоторые «отличительные особенности» инцидента, а также установили связь с недавней атакой на ресурсы Cloudflare и даже нашли признаки ботнета Mēris, от которого в сентябре прошлого года пострадала инфраструктура «Яндекса».
В ходе атаки были зафиксированы 5256 исходных IP-адресов из 132 стран. При атаке использовались HTTPS-запросы — они обходятся дороже, чем HTTP-запросы, поскольку для установки безопасного соединения требуется больше ресурсов. Кроме того, примерно 22 % (или 1169) исходных IP-адресов соответствовали выходным узлам Tor. Объём запросов от них составлял всего 3 % вредоносного трафика, однако экспертам стало ясно, что и они могут теперь создавать серьёзные проблемы для веб-ресурсов и приложений.