Google Cloud’un blogunda, bugüne kadarki en büyük Ddos’un (dağıtık hizmet reddi saldırısı) nasıl karşılandığı açıklandı.
2 yıl önce yine Google tarafından yayınlanan makalede, ddos saldırılarının “sıklığı ve boyutunun katlanarak arttığı” açıklanmıştı. Şimdi bir saldırgan, müşterilerinden birini saniyede 46 milyon taleple vurmaya çalıştı. Blog gönderisi, bunu, bugüne kadar bildirilen “türünün en büyük saldırısı” ve “bir önceki en büyük saldırıdan en az %76 daha büyük olarak” tanımlıyor :
1 Haziran 2022’de PT sabah 9:45’ten başlayarak, saniyede 10.000’den fazla istek (rps) içeren bir saldırı, müşterimizin HTTP/S Yük Dengeleyicisinihedef almaya başladı. Sekiz dakika sonra, saldırı saniyede 100.000 isteğe ulaştı. Cloud Armor Adaptive Protection, saldırıyı algıladı ve birkaç düzine özellik ve öznitelik genelinde trafiği değerlendirerek saldırı imzasını içeren bir uyarı oluşturdu. Uyarı, kötü niyetli imzayı engellemek için önerilen bir kuralı içeriyordu….
Müşterimizin ağ güvenliği ekibi, Cloud Armor tarafından önerilen kuralı güvenlik politikalarına yerleştirdi ve saldırı trafiğini hemen engellemeye başladı. Takip eden iki dakika içinde, saldırı hızlanmaya başladı ve 100.000 rpm’den 46 milyon rpm’lik bir zirveye ulaştı. Cloud Armor saldırı trafiğini zaten engellediği için hedef iş yükü normal şekilde çalışmaya devam etti. Sonraki birkaç dakika içinde saldırının boyutu azalmaya başladı ve sonuçta 69 dakika sonra saat 10:54’te sona erdi.
Muhtemelen saldırgan, saldırıyı gerçekleştirmek için önemli kaynak kullanırken, bekledikleri etkiye sahip olmadıklarını belirledi… Saldırı, oluşturulması için ek bilgi işlem kaynakları gerektirecek olan şifreli isteklerden (HTTPS) yararlandı. Trafiği denetlemek ve saldırıyı etkili bir şekilde azaltmak için şifrelemeyi sonlandırmak gerekli olsa da, HTTP Pipelining’in kullanılması Google’ın nispeten az sayıda TLS anlaşması tamamlamasını gerektirdi… Saldırı, Google’ın ağının kenarında durduruldu ve kötü amaçlı istekler yukarı yönde engellendi. “
Blog’a göre, saldırıdaki kaynak IP’lerin %22’si Tor çıkış düğümlerine karşılık gelirken, Tor düğümlerinden gelen gerçek trafik, saldırı trafiğinin yalnızca %3’ünü temsil ediyordu.
Google saldırıya rağmen, müşterinin çevrimiçi kaldığını ve son kullanıcılarına hizmet vermeye devam ettiğini söylüyor.