這是我們?nèi)绾巫柚褂惺芬詠碜畲蟮木W(wǎng)絡(luò)DDoS攻擊

谷歌云透露，它阻止了有史以來最大的分布式拒絕服務(wù)(DDoS)攻擊，該攻擊的峰值為每秒4600萬個(gè)請(qǐng)求(rps)。6月1日的攻擊針對(duì)的是一位使用GoogleCloudArmorDDoS保護(hù)服務(wù)的GoogleCloud客戶。

從太平洋時(shí)間上午9點(diǎn)45分開始，在69分鐘的時(shí)間里，攻擊者用HTTPS請(qǐng)求轟炸其客戶的HTTP/S負(fù)載均衡器，從10,000rps開始，幾分鐘內(nèi)增加到100,000rps，然后達(dá)到高達(dá)4600萬rps的峰值。

對(duì)Google客戶的攻擊幾乎是6月份對(duì)Cloudflare客戶的HTTPSDDoS攻擊規(guī)模的兩倍，當(dāng)時(shí)的峰值為2600萬轉(zhuǎn)/秒。該攻擊還依賴于一個(gè)相對(duì)較小的僵尸網(wǎng)絡(luò)，該網(wǎng)絡(luò)由分布在127個(gè)國(guó)家/地區(qū)的5,067臺(tái)設(shè)備組成。

對(duì)谷歌客戶的攻擊也是通過HTTPS進(jìn)行的，但使用了“HTTP管道”，這是一種擴(kuò)大rps的技術(shù)。谷歌表示，此次攻擊來自132個(gè)國(guó)家/地區(qū)的5,256個(gè)源IP地址。

谷歌表示：“這次攻擊利用了加密請(qǐng)求(HTTPS)，這需要額外的計(jì)算資源才能生成。”

“雖然終止加密對(duì)于檢查流量和有效緩解攻擊是必要的，但使用HTTP管道需要谷歌完成相對(duì)較少的TLS握手。”

谷歌表示，用于生成攻擊的不安全服務(wù)的地理分布和類型與Mēris僵尸網(wǎng)絡(luò)家族相匹配。Mēris是2021年出現(xiàn)的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，主要由受感染的MikroTik路由器組成。

Qrator的研究人員之前分析了Mēris對(duì)HTTPPipelining的使用，解釋說該技術(shù)涉及將垃圾HT??TP請(qǐng)求分批發(fā)送到目標(biāo)服務(wù)器，迫使它響應(yīng)這些請(qǐng)求批次。流水線化擴(kuò)展了rps，但正如谷歌所提到的，該技術(shù)不需要它來完成TLS握手。

Cloudflare將2600萬rps的攻擊歸因于它所謂的Mantis僵尸網(wǎng)絡(luò)，它認(rèn)為這是Mēris的演變。據(jù)Cloudflare稱，Mantis由被劫持的虛擬機(jī)和云公司托管的服務(wù)器提供支持，而不是低帶寬物聯(lián)網(wǎng)設(shè)備。

查看：如何確定您是否涉及數(shù)據(jù)泄露——以及下一步該怎么做

谷歌指出，這個(gè)與Mēris相關(guān)的僵尸網(wǎng)絡(luò)濫用不安全的代理來混淆攻擊的真正來源。

它還指出，大約22%或1,169個(gè)源IP對(duì)應(yīng)于Tor出口節(jié)點(diǎn)，但來自這些節(jié)點(diǎn)的請(qǐng)求量?jī)H占攻擊流量的3%。

“雖然我們認(rèn)為由于易受攻擊服務(wù)的性質(zhì)，Tor參與攻擊是偶然的，即使是峰值的3%(大于130萬rps)，我們的分析表明Tor出口節(jié)點(diǎn)可以發(fā)送大量不受歡迎的流量到網(wǎng)絡(luò)應(yīng)用程序和服務(wù)。”