Google afferma di aver fermato uno dei più grandi attacchi DDoS (Distributed Denial of Service) mai visti.
In un post sul blog (si apre in una nuova scheda), Emil Kiner, senior product manager dell'azienda per Cloud Armor, e il responsabile tecnico Satya Konduru, hanno affermato che il loro strumento ha bloccato un attacco DDoS HTTPS di livello 7 che ha raggiunto un massimo di 46 milioni di richieste al secondo (rps), rendendolo più grande del 76% rispetto al precedente detentore del record.
"Per dare un'idea della portata dell'attacco, è come ricevere tutte le query quotidiane su Wikipedia (uno dei 10 siti web più trafficati al mondo) in soli 10 secondi", spiega il blog.
Nodi di uscita Tor utilizzati
L'attacco raggiunse il picco circa dieci minuti dopo, ma durò più di un'ora (69 minuti). Gli investigatori presumono che gli aggressori si siano fermati quando hanno visto che i loro sforzi non stavano dando il risultato sperato.
Da un punto di vista tecnico sembra che la botnet utilizzata nell’attacco fosse piuttosto potente. Sono stati utilizzati un totale di 5.256 indirizzi IP di origine, provenienti da 132 paesi.
L'attacco ha utilizzato richieste crittografate (HTTPS), il che significa che erano necessarie risorse di elaborazione aggiuntive per generarle; È stato un compito piuttosto costoso. Quasi un quarto (22%) di tutti gli indirizzi IP di origine (1169) erano endpoint di nodi di uscita Tor (si apre in una nuova scheda), nonostante il loro volume di richieste rappresentasse solo il 3% di tutto il traffico di attacco.
"Mentre riteniamo che il coinvolgimento di Tor nell'attacco sia stato accidentale a causa della natura dei servizi vulnerabili, anche al 3% del picco (oltre 1,3 milioni di rps), la nostra analisi mostra che i nodi di uscita Tor possono inviare una quantità significativa di traffico indesiderato a applicazioni e servizi web”, hanno aggiunto.
I primi quattro paesi hanno contribuito per quasi un terzo (31%) al traffico totale degli attacchi.
Gli esperti di Google non sono riusciti a confermare con certezza l'autore della minaccia dietro l'attacco, ma ritengono che si tratti del lavoro di Mēris, dato che la distribuzione geografica e i tipi di servizi non sicuri sfruttati nell'attacco corrispondono ai loro schemi.