Google affirme avoir stoppé l'une des plus grandes attaques par déni de service distribué (DDoS) jamais vue.
Dans un article de blog (ouvre dans un nouvel onglet), Emil Kiner, chef de produit senior de l'entreprise pour Cloud Armor, et Satya Konduru, responsable technique, ont déclaré que leur outil avait stoppé une attaque DDoS HTTPS de couche 7 qui avait atteint un maximum de 46 millions de requêtes par seconde. (rps), ce qui le rend 76 % plus grand que le précédent détenteur du record.
"Pour donner une idée de l'ampleur de l'attaque, c'est comme recevoir toutes les requêtes quotidiennes sur Wikipédia (l'un des 10 sites Web les plus fréquentés au monde) en seulement 10 secondes", explique le blog.
Nœuds de sortie Tor utilisés
L'attaque a culminé environ dix minutes plus tard, mais a duré plus d'une heure (69 minutes). Les enquêteurs supposent que les assaillants se sont arrêtés lorsqu'ils ont constaté que leurs efforts ne donnaient pas le résultat escompté.
D’un point de vue technique, il semble que le botnet utilisé lors de l’attaque était assez puissant. Au total, 5.256 132 adresses IP sources ont été utilisées, provenant de XNUMX pays.
L'attaque utilisait des requêtes cryptées (HTTPS), ce qui signifiait que des ressources informatiques supplémentaires étaient nécessaires pour la générer ; C'était une tâche assez coûteuse. Près d'un quart (22 %) de toutes les adresses IP sources (1169 3) étaient des points de terminaison de nœuds de sortie Tor (ouvre dans un nouvel onglet), bien que leur volume de requêtes ne représente que XNUMX % de tout le trafic d'attaque.
« Même si nous pensons que l'implication de Tor dans l'attaque était fortuite en raison de la nature des services vulnérables, même à 3 % du pic (plus de 1,3 million de rps), notre analyse montre que les nœuds de sortie de Tor peuvent envoyer une quantité importante de trafic indésirable vers applications et services Web », ont-ils ajouté.
Les quatre principaux pays ont contribué à près d’un tiers (31 %) du trafic total d’attaques.
Les experts de Google n'ont pas pu confirmer avec certitude qui est l'auteur de l'attaque, mais pensent qu'il s'agit de l'œuvre de Mēris, étant donné que la répartition géographique et les types de services non sécurisés exploités dans l'attaque correspondent à leurs schémas.