今年 6 月,Cloudflare 報告遭遇了有史以來最大規模的 DDoS 網絡攻擊,峰值每秒請求高達 2600 萬次。這刷新了 2021 年 8 月創下的 1720 萬次和 2022 年 4 月創下的 1530 萬次。不過這個記錄在本月再次刷新,Google 表示峰值達到了每秒 4600 萬次。
在 Google Cloud 博文中,Google 表示峰值時每秒請求達到了 4600 萬次,超過 Cloudflare 峰值的 76%。這次 DDoS 攻擊是針對使用 Cloud Armor 的 Google Cloud 客戶進行的。Google 表示,一旦服務檢測到威脅跡象,它就會提醒客戶並建議他們採取保護規則來抵禦危險。然後在請求達到峰值之前部署此規則,這意味着客戶繼續保持在線,而 Cloud Armor 保護他們的基礎設施和工作負載。
Google表示,攻擊於 6 月 1 日凌晨開始,速度為每秒 1 萬次請求,但在 8 分鐘后升至每秒 10 萬次請求,此時 Cloud Armor 自適應保護啟動。兩分鐘后,每秒請求數增加到 4600 萬,但客戶現在安全並繼續運營。攻擊在 69 分鐘內就消失了,可能是因為被 Google Cloud Armor 挫敗而沒有達到預期的效果。
對於本次安全事件的事後分析,Google 表示
除了出乎意料的高流量外,該攻擊還有其他值得注意的特徵。這次攻擊有來自 132 個國家的 5256 個源 IP。正如您在上面的圖 2 中看到的,前 4 個國家/地區貢獻了大約 31% 的總攻擊流量。
攻擊利用了加密請求 (HTTPS),這將需要額外的計算資源來生成。雖然終止加密對於檢查流量和有效緩解攻擊是必要的,但使用 HTTP Pipelining 需要 Google 完成相對較少的 TLS 握手。
大約 22% (1,169) 的源 IP 對應於 Tor 出口節點,儘管來自這些節點的請求量僅占攻擊流量的 3%。雖然我們認為由於易受攻擊的服務的性質,Tor 參與攻擊是偶然的,但即使在峰值的 3%(大於 130 萬 rps)時,我們的分析表明 Tor 出口節點可以發送大量不受歡迎的流量到網絡應用程序和服務。
用於生成攻擊的不安全服務的地理分佈和類型與 Mēris 系列攻擊相匹配。 Mēris 方法以其破壞 DDoS 記錄的大規模攻擊而聞名,它濫用不安全的代理來混淆攻擊的真實來源。