Google Cloud a révélé avoir bloqué la plus grande attaque par déni de service distribué (DDoS) jamais enregistrée, qui a culminé à 46 millions de requêtes par seconde (RPS).
L’attaque du 1er juin visait un client de Google Cloud utilisant le service de protection DDoS Google Cloud Armor.
Pendant 69 minutes, les attaquants ont bombardé l’équilibreur de charge HTTP/S du client de requêtes HTTPS, en commençant par 10 000 RPS et en passant en quelques minutes à 100 000 RPS avant d’atteindre un pic impressionnant de 46 millions RPS.
5 256 adresses IP sources réparties dans 132 pays
Google affirme qu’il s’agit de la plus grande attaque jamais réalisée au niveau de la couche 7, en référence à la couche applicative – la couche supérieure – du modèle OSI.
L’attaque contre le client de Google était presque deux fois plus importante qu’une attaque DDoS HTTPS contre un client de Cloudflare en juin qui a atteint 26 millions de RPS. Cette attaque s’appuyait également sur un botnet relativement petit composé de 5 067 dispositifs répartis dans 127 pays.
L’attaque contre le client de Google a également été menée via HTTPS, mais a utilisé le « HTTP Pipelining », une technique permettant d’augmenter la vitesse de transmission. Selon Google, l’attaque provenait de 5 256 adresses IP sources réparties dans 132 pays.
« L’attaque a exploité des requêtes chiffrées (HTTPS) qui auraient nécessité des ressources informatiques supplémentaires pour être générées », a déclaré Google.
« Bien que la fin du chiffrement ait été nécessaire pour inspecter le trafic et atténuer efficacement l’attaque, l’utilisation de HTTP Pipelining a obligé Google à effectuer relativement peu de prises de contact TLS. »
Le coupable Mēris
Selon Google, la répartition géographique et les types de services non sécurisés utilisés pour générer l’attaque correspondent à la famille de botnets Mēris. Mēris est un botnet apparu en 2021 qui se composait principalement de routeurs MikroTik compromis.
Les chercheurs de Qrator, qui ont précédemment analysé l’utilisation de HTTP Pipelining par Mēris, ont expliqué que cette technique consiste à envoyer des requêtes HTTP trash par lots à un serveur ciblé, le forçant à répondre à ces lots de requêtes. Le pipelining permet d’augmenter la vitesse de traitement.
Cloudflare a attribué l’attaque de 26 millions de RPS à ce qu’il a appelé le botnet Mantis, qu’il considère comme une évolution de Mēris. Mantis était alimenté par des machines virtuelles et des serveurs détournés hébergés par des entreprises de cloud plutôt que par des appareils IoT à faible bande passante, selon Cloudflare.
Google a noté que ce botnet lié au Mēris abusait de proxies non sécurisés pour obscurcir la véritable origine des attaques. Il a également noté qu’environ 22% ou 1 169 des IP sources correspondaient à des nœuds de sortie Tor, mais que le volume de requêtes provenant de ces nœuds ne représentait que 3% du trafic de l’attaque.
« Alors que nous pensons que la participation de Tor dans l’attaque était fortuite en raison de la nature des services vulnérables, même à 3% du pic (plus de 1,3 millions de RPS), notre analyse montre que les nœuds de sortie Tor peuvent envoyer une quantité importante de trafic indésirable aux applications et services web. »
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));