El ataque fue un 76% más potente que el ataque DDoS HTTPS que afectó a Cloudflare en junio.
Google afirma que recientemente ha repelido el mayor ataque DDoS HTTPS de la historia para evitar la caída de los servicios de Internet de un cliente alojados en Google Cloud.
El incidente se produjo el 1 de junio, y dio lugar a un ataque DDoS que alcanzó un máximo de 46 millones de solicitudes por segundo utilizando peticiones basadas en HTTPS. «Este es el mayor DDoS de capa 7 del que se ha informado hasta la fecha», según el director de producto de Google, Emil Kiner, y el responsable técnico, Satya Konduru.
«Para dar una idea de la escala del ataque, eso es como recibir todas las peticiones diarias a Wikipedia (uno de los 10 sitios web con más tráfico del mundo) en sólo 10 segundos», añadieron.
El ataque fue también un 76% más potente que el de 26 millones de RPS que sufrió Cloudflare durante el mismo mes, el anterior récord de mayor ataque DDoS HTTPS. (En enero, Microsoft defendió un ataque DDoS que batió el récord con 3,47Tbps, pero el asalto utilizó un método «volumétrico(Abre en una nueva ventana)» para bombardear la red, lo que lo sitúa en una clase diferente de ataque DDoS).
Los ataques DDoS están diseñados para dejar fuera de servicio un sitio o servicio de Internet bombardeando el destino con una avalancha de tráfico web. El incidente de junio contra el cliente de Google Cloud comenzó inicialmente como un ataque compuesto por más de 10.000 peticiones por segundo antes de escalar a 100.000 RPS ocho minutos después.
En respuesta, el sistema anti-DDoS Cloud Armor de Google detectó inmediatamente el ataque y generó una alerta, que comenzó a bloquear las fuentes del tráfico web malicioso. «En los dos minutos siguientes, el ataque comenzó a aumentar, pasando de 100.000 RPS a un pico de 46 millones de RPS», dijo la compañía.
Sin embargo, el aumento masivo de tráfico no logró interrumpir Google Cloud. «Como Cloud Armor ya estaba bloqueando el tráfico del ataque, la carga de trabajo objetivo siguió funcionando con normalidad», añadió la empresa. «Durante los siguientes minutos, el ataque comenzó a disminuir en tamaño, finalmente terminando 69 minutos más tarde a las 10:54 a.m. Presumiblemente el atacante probablemente determinó que no estaban teniendo el impacto deseado mientras incurrían en gastos significativos para ejecutar el ataque».
La empresa sospecha que el DDoS procedía de la red de bots Meris, formada por cientos de miles de routers y módems de Internet infectados, muchos de ellos pertenecientes a MikroTik. La botnet se creó probablemente gracias a una vulnerabilidad(Abre en una nueva ventana) en los productos de MikroTik que puede permitir a un hacker tomar el control de los dispositivos de forma remota.
La red de bots Meris también ha sido vinculada(Abre en una nueva ventana) a otros incidentes DDoS importantes, incluido un ataque de 22 millones de RPS que afectó a la empresa rusa Yandex el año pasado. El reciente ataque a Google indica que la red de bots Meris puede generar aún más potencia de fuego. Pero, aun así, no fue suficiente para hacer tambalear los servicios en la nube del gigante de las búsquedas.
Para detener el ataque, Google afirma que su sistema Cloud Armor puede establecer un «modelo de referencia de los patrones de tráfico normales» hacia el sitio web de un cliente. El mismo sistema también tiene una «capacidad de limitación de la tasa» que puede permitir a un cliente estrangular cuidadosamente el tráfico web malicioso, sin afectar a las solicitudes legítimas del sitio web.
La compañía compartió los detalles del ataque tanto para advertir a la comunidad tecnológica como para atraer a clientes corporativos a sus servicios en la nube. «Con Google Cloud Armor (se abre en una nueva ventana), puede proteger sus aplicaciones orientadas a Internet en el borde de la red de Google y absorber el tráfico no deseado lejos de sus aplicaciones», añadió el gigante tecnológico