Un cliente de Google Cloud Armor sufrió un ataque de denegación de servicio distribuido (DDoS) a través del protocolo HTTPS. El ataque alcanzó los 46 millones de solicitudes por segundo (RPS), hecho que lo convierte en el más grande jamás registrado hasta ahora.

Y es, en solo dos minutos, el ataque escaló de 100.000 RPS a un récord de 46 millones de RPS. Traducción: casi un 80 % más que el récord anterior: un HTTPS DDoS de 26 millones de RPS que Cloudflare mitigó en junio.

El ataque HTTPS DDoS que Google logró frenar duró 69 minutos

El ataque empezó en la mañana del 1 de junio, específicamente a las 09:45, hora del Pacífico. Y se dirigió al balanceador de carga HTTP/S de la víctima con solo 10.000 RPS. En tan solo ocho minutos, el ataque logró intensificar a 100.000 RPS y Cloud Armor Protection de Google se activó. Esto generó una alerta y firmas basadas en ciertos datos extraídos del análisis de tráfico.

Dos minutos después, el ataque alcanzó un máximo de 46 millones de solicitudes por segundo:

ataque de Google 46 RPS
Vía Google

Para que las personas pudieran visualizar lo masivo que fue el ataque HTTPS DDoS, Google dijo que este fue el equivalente a enviar todas las solicitudes diarias a Wikipedia en tan solo 10 segundos.

Por suerte, el cliente ya había implementado la regla recomendada de Cloud Armor, la cual permitía que las operaciones se ejecutaran con normalidad. El asalto terminó 69 minutos después de haber comenzado.

En un informe de Emil Kiner (gerente sénior de productos) y Satya Konduru, puede leerse esto: «Presuntamente, el atacante probablemente determinó que no estaba teniendo el impacto deseado mientras incurría en gastos significativos para ejecutar el ataque».

Todavía no se ha determinado el malware que estuvo detrás del ataque, pero la distribución geográfica de los servicios utilizados apunta a Mēris. Este se trata de una red de bots responsable de los ataques DDoS que alcanzan un máximo de 17,2 millones de RPS y 21,8 millones de RPS, ambos récord en su momento.

Además, Mēris es conocido por usar proxies no seguros para enviar mal tráfico, con el fin de ocultar el origen del ataque.

¿Qué más dicen los investigadores de Google sobre el ataque?

Los investigadores de Google señalan que el tráfico de ataque provino de 5.256 direcciones IP distribuidas en 132 países. Incluso se aprovechó de las solicitudes cifradas (HTTPS), esto indica que los dispositivos que envían las solicitudes tienen recursos informáticos fuertes.

“Aunque fue necesario finalizar el cifrado para inspeccionar el tráfico y mitigar el ataque de manera efectiva, el uso de HTTP Pipelining requirió que Google completara relativamente pocos protocolos de enlace TLS”.

Este ataque también se caracterizó por el uso de nodos de salida Tor para entregar el tráfico. También se sabe que cerca del 22% o 1.169 de las fuentes canalizaron las solicitudes a través de la red Tor, lo que representa solo el 3% del tráfico de ataque.

Pese a todo esto, los investigadores de Google consideran que los nodos de salida de Tor podrían usarse para entregar «una cantidad significativa de tráfico no deseado a las aplicaciones y servicios web». Es posible que estos ataques no paren de aumentar, así que todos deben estar más alertos que nunca.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *