Un cliente de Google Cloud Armor fue objeto de una serie de ataques DDoS HTTPS que alcanzaron un máximo de 46 millones de llamadas por segundo. Se trata del mayor ataque DDoS de capa 7 del que se tiene constancia hasta la fecha, al menos un 76% mayor que el récord anterior. Para dar una idea de la escala del ataque, eso es como recibir todas las peticiones diarias a Wikipedia (uno de los 10 sitios web con más tráfico del mundo) en sólo 10 segundos.
Google Cloud Platform anunció el jueves 18 de agosto haber repelido con éxito lo que cree que fue el mayor ataque de denegación de servicio distribuido (DDoS) de capa 7 jamás presenciado, cuando desconocidos intentaron interrumpir los servicios online de uno de sus clientes. El ataque utilizó peticiones basadas en HTTPS y alcanzó un asombroso máximo de 46 millones de peticiones por segundo (RPS).
Los ataques DDoS, una de las armas cibernéticas más poderosas disponibles, tienen como objetivo los servicios en línea y los sitios web para sobrecargarlos con volúmenes masivos de tráfico que el servidor o la red no pueden absorber. El objetivo principal de estos ataques es causar problemas a las empresas haciendo que sus sitios web queden inoperantes. Los usuarios particulares también se ven afectados por la interrupción al no poder acceder a los servicios que necesitan.
Según Google, el ataque comenzó el 1 de junio a las 9:45 de la mañana, hora del Pacífico, y empezó con 10.000 RPS al balanceador de carga HTTP/S de la víctima antes de aumentar a 100.000 RPS después de ocho minutos. El sistema Cloud Armor Adaptive Protection de la empresa fue capaz de detectar el ataque y proporcionar una alerta que incluía la firma del ataque y una regla recomendada para bloquear la firma fraudulenta mediante el análisis de los datos de varias docenas de características y atributos. Dos minutos después, el ataque DDoS se intensificó aún más, alcanzando un pico de 46 millones de RPS.
A pesar de la fuerte escalada del ataque, Google impidió que los servicios del cliente fueran afectados. “Debido a que Cloud Armor ya estaba bloqueando el tráfico de ataque, las cargas de trabajo del cliente continuaron operando normalmente”.
El ataque terminó 69 minutos después de su inicio. “El atacante, presumiblemente, se dio cuenta de que no estaba teniendo el impacto deseado mientras incurría en importantes gastos para llevar a cabo el ataque”, escribe Google en su detallado informe.
Según Google, el ataque DDoS fue un 76% más potente que el del 26 de junio contra el proveedor de seguridad web Cloudflare, y habría sido realizado mediante la red de bots Meris, formada por cientos de miles de routers y módems comprometidos. Una empresa llamada MikroTik vendió muchos de los módems y routers infectados.
El ataque, según los investigadores de Google, utilizó llamadas HTTPS cifradas y se originó en sólo 5.256 direcciones IP repartidas en 132 países diferentes. Esto sugiere que las máquinas que hacían las consultas eran capaces de realizar cálculos complejos. Otra característica distintiva del ataque fue el uso de nodos de salida de Tor para enviar el tráfico.
