En juin dernier, Cloudflare a indiqué avoir détecté et bloqué une attaque DDoS par HTTPS de 26 millions de requêtes par seconde orchestrée via le botnet Mantis. Elle avait été présentée comme la » plus grande attaque DDoS par HTTPS jamais enregistrée. » Du moins connue…
Google Cloud annonce désormais avoir bloqué une attaque DDoS par HTTPS au moins 76 % plus puissante que ce précédent record, avec un pic à 46 millions de requêtes par seconde. Elle a été détectée par la protection Google Cloud Armor.
» Cela revient à recevoir toutes les requêtes quotidiennes de Wikipédia en seulement 10 secondes « , indique Google à titre de comparaison et pour donner une idée de l’ampleur de l’attaque qui a eu lieu au début du mois de juin.
L’attaque a duré 69 minutes en tout et avait débuté à 10 000 requêtes par seconde. Elle a gagné rapidement en ampleur pour atteindre brièvement son pic avec la contribution de 5 256 adresses IP de 132 pays afin de générer le gros trafic, et s’appuyant donc sur des requêtes HTTPS.
Cloudflare avait précisé que les attaques DDoS par HTTPS sont plus onéreuses en matière de ressources informatiques, à cause du coût plus élevé pour l’établissement d’une connexion sécurisée par chiffrement TLS.
Botnet Meris et nœuds Tor
Le client touché n’est pas cité, mais Google vante bien évidemment sa solution Google Cloud Armor qui a permis d’alerter et faire face à l’attaque par déni de service distribué, notamment grâce à des mesures déployées en amont.
A priori, ce serait le botnet Meris qui se cacherait derrière cette attaque. Il est déjà impliqué dans d’autres DDoS d’ampleur, et pas forcément avec des requêtes HTTPS. Un point souligné est que près de 22 % des adresses IP embrigadées correspondaient à des nœuds de sortie du réseau Tor, et ce pour 3 % du trafic de l’attaque.
» Alors que nous pensons que la participation de Tor dans l’attaque était accidentelle en raison de la nature des services vulnérables, même à 3 % du pic (plus de 1,3 million de requêtes par seconde) notre analyse montre que les nœuds Tor peuvent envoyer une quantité importante de trafic indésirable vers les applications et services web « , écrit Google.