گوگل: در اینجا نحوه مسدود کردن بزرگترین حمله DDoS وب تا کنون آمده است

Google Cloud

حمله به مشتری گوگل نیز از طریق HTTPS انجام شد، اما از “HTTP Pipelining” استفاده شد، تکنیکی برای افزایش Rps. گوگل می گوید این حمله از 5256 آدرس IP منبع در 132 کشور انجام شده است.

همچنین اشاره کرد که حدود 22 درصد یا 1169 از IP های منبع مربوط به گره های خروج Tor است، اما حجم درخواستی که از آن گره ها می آید تنها 3 درصد از ترافیک حمله را تشکیل می دهد.

حمله 1 ژوئن یک مشتری Google Cloud را با استفاده از سرویس حفاظتی Google Cloud Armor DDoS هدف قرار داد.

«در حالی که ما معتقدیم مشارکت Tor در حمله به دلیل ماهیت سرویس‌های آسیب‌پذیر تصادفی بوده است، حتی در 3 درصد اوج (بیشتر از 1.3 میلیون rps) تجزیه و تحلیل ما نشان می‌دهد که گره‌های خروج Tor می‌توانند مقدار قابل توجهی از ترافیک ناخواسته را به برنامه ها و خدمات وب.”

منبع: https://www.zdnet.com/article/google-blocked-largest-web-ddos-ever/#ftag=RSSbaffb68

گوگل می گوید توزیع جغرافیایی و انواع سرویس های ناامن مورد استفاده برای ایجاد حمله با خانواده بات نت های Mēris مطابقت دارد. Mēris یک بات نت اینترنت اشیا است که در سال 2021 ظاهر شد و بیشتر از روترهای MikroTik در معرض خطر قرار داشت.

ببینید: چگونه متوجه شوید که آیا درگیر نقض اطلاعات هستید — و در مرحله بعد چه کاری باید انجام دهید

«این حمله از درخواست‌های رمزگذاری‌شده (HTTPS) استفاده می‌کرد که منابع محاسباتی اضافه‌ای را برای تولید نیاز داشتند.» گوگل گفت.

حمله به مشتری گوگل تقریبا دو برابر حمله HTTPS DDoS به مشتری Cloudflare در ماه ژوئن بود که به اوج 26 میلیون دور در ثانیه رسید. این حمله همچنین متکی به یک بات نت نسبتاً کوچک متشکل از 5067 دستگاه بود که در 127 کشور پخش شده بودند.

گوگل می‌گوید که این بزرگترین حمله‌ای است که تاکنون در لایه 7 انجام شده است، با اشاره به لایه برنامه – لایه بالایی – در مدل OSI اینترنت.

گوگل اشاره کرد که این بات نت مرتبط با Mēris از پروکسی های ناامن سوء استفاده کرده است تا مبدا اصلی حملات را مخفی کند.

Google Cloud فاش کرده است که بزرگترین حمله انکار سرویس توزیع شده (DDoS) را مسدود کرده است که به اوج آن 46 میلیون درخواست در ثانیه (RPS) رسیده است.

Cloudflare حمله 26 میلیون rps را به آنچه بات نت Mantis می نامید نسبت داد، که آن را تکامل Mēris می دانست. به گفته Cloudflare، Mantis توسط ماشین‌های مجازی ربوده شده و سرورهایی که توسط شرکت‌های ابری میزبانی می‌شوند، به جای دستگاه‌های اینترنت اشیا با پهنای باند کم، نیرو می‌گیرد.

اگرچه پایان دادن به رمزگذاری برای بازرسی ترافیک و کاهش موثر حمله ضروری بود، اما استفاده از لوله گذاری HTTP گوگل را ملزم به انجام نسبتاً کمی دست دادن TLS کرد.”

محققین در Qrator که قبلا استفاده Mēris از HTTP Pipelining را تحلیل کرده بود توضیح داد که این تکنیک شامل ارسال درخواست‌های HTTP سطل زباله به صورت دسته‌ای به یک سرور هدفمند است و آن را مجبور می‌کند به آن دسته درخواست پاسخ دهد. Pipelining سرعت در ثانیه را افزایش می دهد، اما همانطور که توسط گوگل ذکر شده است، این تکنیک برای تکمیل دست دادن TLS نیازی نداشت.

در طول 69 دقیقه که از ساعت 9:45 صبح به وقت محلی آغاز شد، مهاجمان بارگذاری بار HTTP/S مشتری خود را با درخواست‌های HTTPS بمباران کردند که از 10000 RPS شروع شد و در عرض چند دقیقه تا 100000 RPS افزایش یافت و سپس به 46 میلیون RPS رسید.