En junio, un cliente de Google Cloud Armor fue objetivo de una serie de ataques HTTPS DDoS que alcanzaron un máximo de 46 millones de solicitudes por segundo.
En el segundo semestre de 2021, un informe alertaba de un importante incremento en la frecuencia de los ataques de denegación de servicio distribuido o DDos. Además de ser mucho más complejos y sofisticados. En estos meses de 2022 estos ataques siguen aumentando.
A principios de año, empresas como Microsoft o Cloudflare fueron noticia en España después de que bloquearan los ataques de denegación de servicio distribuido o DDoS calificados como más grandes de la historia. Hasta ahora el récord lo tenía Cloudflare, que sufrió un ataque en junio con 26 millones de solicitudes por segundo.
Ahora, Google ha comunicado en su blog de Google Cloud que ha logrado bloquear el que ahora mismo sería el ataque DDoS más grande con 46 millones de solicitudes por segundo. Esto supone un aumento del 76% respecto al ataque de Cloudflare de junio.
Los clientes de Google Cloud pueden usar Google Cloud Armor. Esta es una plataforma de seguridad encargada de la protección a gran escala de las infraestructuras y aplicaciones contra los ataques web, como inyección y denegación de servicio distribuido.
El 1 de junio, un cliente de Google Cloud Armor fue objetivo de una serie de ataques HTTPS DDoS que alcanzaron un máximo de 46 millones de solicitudes por segundo. Este es el DDoS de capa 7 más grande informado hasta la fecha.
La plataforma Cloud Armor pudo detectar y analizar el tráfico en las primeras etapas del ciclo de vida del ataque. Cloud Armor alertó al cliente con una regla de protección recomendada que luego se implementó antes de que el ataque alcanzara su máxima magnitud. Cloud Armor bloqueó el ataque asegurando que el servicio del cliente permaneciera en línea y siguiera atendiendo a sus usuarios finales.
Además de su volumen de tráfico, el ataque tenía otras características destacables. Hubo 5.256 IP de origen de 132 países que contribuyeron al ataque. El ataque aprovechó las solicitudes cifradas (HTTPS) que habrían necesitado recursos informáticos adicionales para generarse. Aproximadamente el 22% (1.169) de las IP de origen correspondieron a nodos de salida de Tor, aunque el volumen de solicitudes provenientes de esos nodos representó solo el 3% del tráfico de ataque.
La distribución geográfica y los tipos de servicios no seguros aprovechados para generar el ataque coinciden con la familia de ataques Mēris. El método Mēris es conocido por sus ataques masivos que han batido récords DDoS y lo que hace es usar servidores proxy no seguros para ocultar el verdadero origen de los ataques.
Como se llevó a cabo el ataque
El ataque comenzó con más de 10 000 solicitudes por segundo (rps) dirigido al equilibrador de carga HTTP/S del cliente. Pocos minutos después, el ataque creció a 100 000 solicitudes por segundo. Cloud Armor Adaptive Protection detectó el ataque y generó una alerta que contenía la firma del ataque al evaluar el tráfico en varias docenas de características y atributos. La alerta incluía una regla recomendada para bloquear el programa malicioso.
El equipo de seguridad de la red del cliente implementó medidas recomendadas por Cloud Armor en su política de seguridad e inmediatamente comenzó a bloquear el tráfico de ataque. A pesar de ello, el ataque comenzó a intensificarse, pasando de 100 000 rps a un pico de 46 millones de rps. Dado que Cloud Armor ya estaba bloqueando el tráfico de ataque, la carga de trabajo objetivo siguió funcionando con normalidad. Durante los siguientes minutos, el ataque comenzó a disminuir en tamaño y finalmente finalizó casi una hora después, Se entiende que los ciberdelincuentes se dieron cuenta de que el impacto no era el deseado al responder con el bloqueo.
