Bir Google Cloud Armor müşterisi, HTTPS protokolü üzerinden saniyede 46 milyon isteğe (RPS) ulaşan dağıtılmış bir hizmet reddi (DDoS) saldırısına uğradı ve bu saldırı, türünün şimdiye kadar kaydedilen en büyük saldırısı oldu.
Sadece iki dakika içinde, saldırı 100.000 RPS’den rekor kıran 46 milyon RPS’ye yükseldi, önceki rekordan neredeyse %80 daha fazla. 26 milyon RPS’lik HTTPS DDoS Cloudflare’ın Haziran ayında hafiflettiği.
Saldırı 69 dakika sürdü
Saldırı 1 Haziran sabahı Pasifik Saati ile 09:45’te başladı ve başlangıçta sadece 10.000 RPS ile kurbanın HTTP/S Yük Dengeleyicisini hedef aldı.
Sekiz dakika içinde, saldırı 100.000 RPS’ye yoğunlaştı ve Google’ın Bulut Zırh Koruması, trafik analizinden alınan belirli verilere dayalı olarak bir uyarı ve imza oluşturarak devreye girdi.
İki dakika sonra saldırı, saniyede 46 milyon istekle zirveye ulaştı:
Saldırının zirvesinde ne kadar büyük olduğunu bir perspektife koymak için Google, bunun tüm günlük istekleri Wikipedia’ya sadece 10 saniyede almaya eşdeğer olduğunu söylüyor.
Neyse ki müşteri, operasyonların normal şekilde çalışmasına izin veren Cloud Armor’dan önerilen kuralı zaten dağıtmıştı. Saldırı başladıktan 69 dakika sonra sona erdi.
Google’dan Emil Kiner (Kıdemli Ürün Müdürü) ve Satya Konduru’nun (Teknik Lider) bir raporu, “Muhtemelen saldırgan, saldırıyı gerçekleştirmek için önemli harcamalar yaparken istenen etkiyi yaratmadığını anladı” diyor.
Saldırının arkasındaki kötü amaçlı yazılım henüz belirlenmedi, ancak kullanılan hizmetlerin coğrafi dağılımı, DDoS saldırılarından sorumlu bir botnet olan Mēris’e işaret ediyor. 17,2 milyon RPS ve 21,8 milyon RPSher ikisi de kendi zamanlarında rekor kırıyor.
Mēris, saldırının kaynağını gizlemek amacıyla kötü trafik göndermek için güvenli olmayan proxy’ler kullandığı biliniyor.
Google araştırmacıları, saldırı trafiğinin 132 ülkeye yayılmış yalnızca 5.256 IP adresinden geldiğini ve istekleri gönderen cihazların oldukça güçlü bilgi işlem kaynaklarına sahip olduğunu belirten şifreli isteklerden (HTTPS) yararlandığını söylüyor.
“Trafiği incelemek ve saldırıyı etkili bir şekilde azaltmak için şifrelemeyi sonlandırmak gerekli olsa da, HTTP Pipelining’in kullanılması Google’ın nispeten az sayıda TLS anlaşması tamamlamasını gerektirdi.”
Saldırının diğer bir özelliği, trafiği iletmek için Tor çıkış düğümlerinin kullanılmasıdır. Kaynakların yaklaşık %22’si veya 1.169’u istekleri Tor ağı üzerinden kanalize etse de, saldırı trafiğinin sadece %3’ünü oluşturuyorlardı.
Buna rağmen, Google araştırmacıları Tor çıkış düğümlerinin “web uygulamalarına ve hizmetlerine önemli miktarda istenmeyen trafik” sağlamak için kullanılabileceğine inanıyor.
Geçen yıldan başlayarak, çeşitli hedefleri vurmak için az sayıda güçlü cihazdan yararlanan birkaç botnet ile rekor kıran hacimsel DDoS saldırıları dönemi başladı.
Eylül 2021’de, Veba botnet Rus internet devi Yandex’i dövdü saniyede 21,8 milyon istekte zirveye ulaşan bir saldırı ile. Daha önce, aynı botnet 17,2 milyon RPS’yi zorladı bir Cloudflare müşterisine karşı.
Geçen Kasım ayında, Microsoft’un Azure DDoS koruma platformu, Asya’daki bir müşteri için saniyede 340 milyon paket (pps) paket hızıyla saniyede 3.47 terabitlik devasa bir saldırıyı hafifletti.
Başka bir Cloudflare müşterisi vuruldu 26 milyon RPS’ye ulaşan DDoS.