Un cliente de Google Cloud Armor sufrió un ataque de denegación de servicio distribuido (DDoS) a través del protocolo HTTPS que alcanzó los 46 RPS (millones de peticiones por segundo), lo que lo convierte en el mayor registrado de su tipo.
En sólo dos minutos, el ataque pasó de 100.000 RPS a un récord de 46 millones de RPS, casi un 80% más que el anterior récord, un DDoS HTTPS de 26 millones de RPS que Cloudflare mitigó en junio.
El ataque duró 69 minutos; comenzó en la mañana del 1 de junio, a las 09:45 hora del Pacífico, y tuvo como objetivo el equilibrador de carga HTTP/S de la víctima, inicialmente con sólo 10.000 RPS.
A los ocho minutos, el ataque se intensificó hasta los 100.000 RPS y la protección Cloud Armor de Google entró en acción generando una alerta y firmas basadas en ciertos datos extraídos del análisis del tráfico.
Para poner en perspectiva lo masivo que fue el ataque en su punto álgido, Google dice que fue el equivalente a recibir todas las peticiones diarias a Wikipedia en sólo 10 segundos.
Por suerte, el cliente ya había desplegado la regla recomendada por Cloud Armor, lo que permitió que las operaciones se desarrollaran con normalidad. El asalto terminó 69 minutos después de su inicio.
«Presumiblemente, el atacante determinó que no estaba teniendo el impacto deseado mientras incurría en gastos significativos para ejecutar el ataque», se lee en un informe de Emil Kiner (Senior Product Manager) y Satya Konduru (Technical Lead) de Google
El malware detrás del ataque aún está por determinar, pero la distribución geográfica de los servicios utilizados apunta a Mēris, una red de bots responsable de ataques DDoS con picos de 17,2 millones de RPS y 21,8 millones de RPS, ambos récord en su momento.
Mēris es conocido por utilizar proxies no seguros para enviar el tráfico malicioso, en un intento de ocultar el origen del ataque.
Los investigadores de Google afirman que el tráfico del ataque procedía de tan solo 5.256 direcciones IP repartidas en 132 países y aprovechaba las peticiones cifradas (HTTPS), lo que indica que los dispositivos que enviaban las peticiones disponen de recursos informáticos bastante potentes.
Otra característica del ataque es el uso de nodos de salida de Tor para entregar el tráfico. Aunque cerca del 22% o 1.169 de las fuentes canalizaron las peticiones a través de la red Tor, sólo representaron el 3% del tráfico del ataque.
A pesar de ello, los investigadores de Google creen que los nodos de salida de Tor podrían utilizarse para entregar «una cantidad significativa de tráfico no deseado a aplicaciones y servicios web».
A partir del año pasado, se inició una era de ataques DDoS volumétricos que batieron récords con pocas redes de bots que aprovecharon un pequeño número de potentes dispositivos para atacar varios objetivos.
En septiembre de 2021, la red de bots Mēris golpeó al gigante ruso de Internet Yandex con un ataque que alcanzó un máximo de 21,8 millones de peticiones por segundo.
Anteriormente, la misma red de bots realizó 17,2 millones de solicitudes por segundo contra un cliente de Cloudflare.
El pasado mes de noviembre, la plataforma de protección DDoS Azure de Microsoft mitigó un ataque masivo de 3,47 terabits por segundo con una tasa de paquetes de 340 millones de paquetes por segundo (pps) para un cliente de Asia.
fuente: unaaldia