Google が史上最大の HTTPS DDoS を阻止:ピーク時には 4600万 RPS を記録

Google blocked the largest Layer 7 DDoS reported to date

2022/08/18 SecurityAffairs — Google は、Google Cloud Armor の顧客を標的とする、過去最大の HTTPs DDoS 攻撃を阻止し、そのピーク時には 46 million RPS (requests per second) が記録されたと発表した。この HTTP/S Load Balancer を標的とした攻撃は、2022年6月1日の午前9時45分に発生した。10,000 RPS 以上から始まり、8分後に 100,000 RPS に増加し、10分後には 46 million RPS に達した。この DDoS 攻撃は、69分間続いたという。


Google の指摘によると、今回の攻撃における RPS 値は、2022年6月に Cloudflare によりブロックされた DDoS 攻撃の、これまでの記録である 26 million RPS と比べて、少なくとも 76% 多いとされる。

Google は、「HTTP/S Load Balancer への攻撃は、これまでに報告された Layer 7 DDoS の中で最大のものであり、前回に報告された記録よりも、少なくとも 76% 増大している。この攻撃の規模は、Wikipedia (世界の Top-10 に入る  Web サイト) への1日分のリクエストを、わずか 10秒で受け取るようなものだ」と述べている。

専門家たちの報告によると、攻撃の発信元は 132カ国/5,256 のソース IP となっており、上位4カ国が攻撃トラフィック全体の約 31%を占めていたという。

また、送信元 IP の約 22% (1,169 個) が Tor の出口ノードを用いていたが、専門家たちは、これらのノードからのリクエスト量は、攻撃トラフィックの僅か3%であると指摘している。

Google は、「サービスが脆弱であるという性質上、Tor の攻撃参加は偶発的であると考えている。しかし、ピーク時の 3% (1.3 million RPS 以上) であっても、Tor 出口ノードが Web アプリ/サービスに対して、相当量の好ましくないトラフィックを送信したことが、我々の分析から判明している」と報告書で述べている。

この攻撃に関与した、十分に保護されていなかったサービスの、地理的な分布と種類を分析すると、この攻撃には Mēris ボットネットの関与が示唆される。  

専門家たちは、「この攻撃は、Google のネットワークのエッジで食い止められ、悪意のリクエストは、顧客のアプリの上流でブロックされた。HTTP/S Load Balancer は、攻撃を受ける前に、関連する Cloud Armor セキュリティ・ポリシーに Adaptive Protection を設定し、自社サービスの通常のトラフィック・パターンのベースラインモデルを確立していた。その結果、Adaptive Protection は、早い段階で DDoS 攻撃を検出し、攻撃が増加する前に、受信トラフィックを分析し、推奨される保護ルールを含むアラートを生成できた。HTTP/S Load Balancer は、最近に Cloud Armor がリリースしたレート制限機能を活用して、攻撃トラフィックを抑制する推奨ルールを展開することで、アラートに対処した」と結論付けている

4600万 RPS と言われてもピンときませんが、Wikipedia への1日分のリクエストを、10秒間で受け取るレベルと言われると、なんとなくスゴさが伝わってきます。なお、文中にある、Cloudflare への攻撃ですが、7月14日の「Cloudflare 対 Mantis ボットネット:毎秒 2600万リクエストの HTTPS DDoS 攻撃を緩和」に詳細が記されていますので、よろしければ、ご参照ください。また、カテゴリ DDoS も、ご利用ください。

%d bloggers like this: