Google affirme avoir arrêté l’une des plus grandes attaques par déni de service distribué (DDoS) jamais vues.
Dans un article de blog (s’ouvre dans un nouvel onglet)Emil Kiner, chef de produit senior de la société pour Cloud Armor, et Satya Konduru, responsable technique, ont déclaré que son outil avait arrêté une attaque DDoS HTTPS de couche 7 qui avait culminé à 46 millions de requêtes par seconde (rps), ce qui la rend 76 % plus importante que la précédente. détenteur du record.
« Pour donner une idée de l’ampleur de l’attaque, c’est comme recevoir toutes les requêtes quotidiennes adressées à Wikipédia (l’un des 10 sites Web les plus trafiqués au monde) en seulement 10 secondes », a expliqué le blog.
Nœuds de sortie Tor utilisés
L’attaque a atteint son apogée une dizaine de minutes plus tard mais a duré plus d’une heure (69 minutes). Les chercheurs supposent que les attaquants se sont arrêtés lorsqu’ils ont vu que leurs efforts ne produisaient pas le résultat souhaité.
Du point de vue technique, il semble que le botnet utilisé dans l’attaque était relativement puissant. Au total, 5 256 adresses IP sources ont été utilisées, provenant de 132 pays.
L’attaque a utilisé des requêtes cryptées (HTTPS), ce qui signifie qu’il a fallu des ressources informatiques supplémentaires pour générer – c’était une entreprise assez coûteuse. Près d’un quart (22 %) de toutes les adresses IP sources (1 169) correspondaient aux points de terminaison des nœuds de sortie Tor (s’ouvre dans un nouvel onglet)même si leur volume de requêtes ne représentait que 3 % de l’ensemble du trafic d’attaque.
« Bien que nous pensions que la participation de Tor à l’attaque était accessoire en raison de la nature des services vulnérables, même à 3 % du pic (supérieur à 1,3 million de rps), notre analyse montre que les nœuds de sortie de Tor peuvent envoyer une quantité importante de trafic indésirable. aux applications et services Web », ont-ils ajouté.
Les quatre premiers pays ont contribué à près d’un tiers (31 %) du trafic d’attaque total.
Les experts de Google n’ont pas pu confirmer avec certitude l’acteur de la menace à l’origine de l’attaque, mais ils ont l’impression que c’était le travail de Mēris, étant donné que la répartition géographique et les types de services non sécurisés exploités dans l’attaque correspondent à ses modèles.