Google Cloud が最大の DDoS 攻撃をブロックし、Cloudflare のこれまでの記録を簡単に破る

Cloudflare は 6 月に、HTTPS に対する最大の分散型サービス拒否 (DDoS) 攻撃を阻止したと報告しました。これは、4 月の 1,530 万 rps という彼の以前の記録を超えています。8 月になると、Google は史上最大の DDoS 攻撃をブロックしたことで栄冠を手にしたことを発表しました。

Google Cloud のブログ投稿で、同社は、Cloudflare よりも 76% 多い、1 秒あたり 4,600 万リクエストに達する DDoS 攻撃をブロックできたと述べています。この攻撃の規模に関する状況を説明するために、世界中のウィキペディアに毎日送信されるすべてのクエリを想像してください。これらが 1 日を通して分散されるのではなく、10 秒以内に送信されると想像してください。

Cloud Armor を使用して、Google Cloud クライアントで DDoS 攻撃が仕掛けられました。Google によると、サービスが脅威の兆候を検出するとすぐに、クライアントに警告し、危険を防ぐための保護ルールを推奨します。その後、このルールはリクエストがピークに達する前に展開されました。つまり、Cloud Armor がインフラストラクチャとワークロードを保護している間、クライアントはオンラインのままでした。

Google の報告によると、攻撃は 6 月 1 日の早朝に 1 秒あたり 10,000 リクエストの割合で開始されましたが、8 分間で 1 秒あたり 100,000 リクエストに増加し、その後 Cloud Armor の適応型保護が機能しました。2 分後、1 秒あたりのリクエスト数は 4,600 万に増加しましたが、クライアントは安全に稼働していました。攻撃は 69 分以内に停止しました。これはおそらく、Google Cloud Armor が干渉したために期待した効果が得られなかったためです。

攻撃全体の分析で、Google は次のように述べています。

予想外に大量のトラフィックに加えて、この攻撃には他にも注目すべき特徴がありました。この攻撃には、132 か国の 5256 の送信元 IP アドレスが関与していました。上の図 2 からわかるように、上位 4 か国がすべての攻撃トラフィックの約 31% を占めています。この攻撃では、暗号化されたリクエスト (HTTPS) が使用されていたため、追加のコンピューティング リソースを生成する必要がありました。トラフィックを検査して攻撃を効果的に軽減するには、暗号化を停止する必要がありましたが、HTTP パイプラインを使用する場合、Google は比較的少数の TLS ハンドシェイクを実行する必要がありました。

ソース IP アドレスの約 22% (1169) が Tor 出口ノードに対応していましたが、これらのノードからのリクエストの量は攻撃トラフィックの 3% しか占めていませんでした。Tor の攻撃への関与は、脆弱なサービスの性質上、偶発的なものであると考えていますが、3% のピーク時 (1 秒あたり 130 万以上のリクエスト) でも、Tor の出口ノードが大量の不要なトラフィックをウェブ – アプリケーションとサービス。

攻撃の実行に使用された安全でないサービスの地理的分布と種類は、Mēris ファミリーの攻撃と一致しています。DDoS 記録を破った大規模な攻撃で悪名高い Meris の方法は、安全でないプロキシ サーバーを使用して、攻撃の真の発生源を隠します。

Google は、攻撃者が DDoS を使用して重要なワークロードを侵害することが多いと警告しています。そのため、同社は詳細な保護戦略と、明らかに Google Cloud Armor の使用を推奨しました。