Google wehrt größten Web-DDoS-Angriff aller Zeiten ab

Google Cloud hat bekannt gegeben, dass es den bisher größten DDoS-Angriff (Distributed Denial of Service) abgewehrt hat, der mit 46 Millionen Anfragen pro Sekunde (rps) seinen Höhepunkt erreichte. Der Angriff am 1. Juni galt einem Google Cloud-Kunden, der den DDoS-Schutzdienst Google Cloud Armor nutzt.

Im Laufe von 69 Minuten, beginnend um 9:45 Uhr PT, bombardierten die Angreifer den HTTP/S Load Balancer des Kunden mit HTTPS-Anfragen, beginnend mit 10.000 rps und innerhalb von Minuten auf 100.000 rps ansteigend, bevor sie einen Spitzenwert von 46 Millionen rps erreichten.

Laut Google handelt es sich um den bisher größten Angriff auf Layer 7, der Anwendungsschicht – der obersten Schicht – im OSI-Modell des Internets. Der Angriff auf den Google-Kunden war fast doppelt so groß wie ein HTTPS-DDoS-Angriff auf einen Cloudflare-Kunden im Juni, der einen Spitzenwert von 26 Millionen Rps erreichte. Dieser Angriff stützte sich ebenfalls auf ein relativ kleines Botnet, das aus 5.067 Geräten in 127 Ländern bestand.

Der Angriff auf den Google-Kunden wurde ebenfalls über HTTPS durchgeführt, verwendete aber „HTTP Pipelining“, eine Technik zur Erhöhung der RPS. Laut Google kam der Angriff von 5.256 Quell-IP-Adressen aus 132 Ländern.

„Der Angriff nutzte verschlüsselte Anfragen (HTTPS), deren Erzeugung zusätzliche Rechenressourcen erfordert hätte“, so Google. „Obwohl die Beendigung der Verschlüsselung notwendig war, um den Datenverkehr zu untersuchen und den Angriff wirksam zu entschärfen, musste Google aufgrund der Verwendung von HTTP-Pipelining relativ wenige TLS-Handshakes durchführen.“

Laut Google passen die geografische Verteilung und die Art der ungesicherten Dienste, die für den Angriff verwendet wurden, zur Mēris-Familie der Botnets. Mēris ist ein IoT-Botnetz, das im Jahr 2021 auftauchte und hauptsächlich aus kompromittierten MikroTik-Routern bestand.

Forscher von Qrator, die zuvor die Verwendung von HTTP-Pipelining durch Mēris analysierten, erklärten, dass diese Technik darin besteht, trashige HTTP-Anfragen in Stapeln an einen gezielten Server zu senden und diesen zu zwingen, auf diese Anfrage-Stapel zu antworten. Pipelining erhöht die Geschwindigkeit, aber wie von Google erwähnt, war es bei dieser Technik nicht erforderlich, TLS-Handshakes abzuschließen.

Cloudflare führte den Angriff mit 26 Millionen Rps auf das so genannte Mantis-Botnet zurück, das als Weiterentwicklung von Mēris gilt. Mantis wurde laut Cloudflare von gekaperten virtuellen Maschinen und Servern betrieben, die von Cloud-Unternehmen gehostet wurden, und nicht von IoT-Geräten mit geringer Bandbreite.

Google stellte fest, dass dieses mit Mēris verwandte Botnetz ungesicherte Proxys nutzte, um den wahren Ursprung der Angriffe zu verschleiern.

Es stellte auch fest, dass etwa 22% oder 1.169 der Quell-IPs Tor-Exit-Knoten entsprachen, aber das Anfragevolumen, das von diesen Knoten kam, betrug nur 3% des Angriffsverkehrs.

„Während wir glauben, dass die Beteiligung von Tor an dem Angriff aufgrund der Art der verwundbaren Dienste zufällig war, zeigt unsere Analyse, dass selbst bei 3 % des Spitzenwertes (mehr als 1,3 Millionen rps) Tor-Exit-Nodes eine beträchtliche Menge an unerwünschtem Verkehr an Webanwendungen und -dienste senden können.