Categories: Cloud

Google wehrt größten Web-DDoS-Angriff aller Zeiten ab

Google Cloud hat bekannt gegeben, dass es den bisher größten DDoS-Angriff (Distributed Denial of Service) abgewehrt hat, der mit 46 Millionen Anfragen pro Sekunde (rps) seinen Höhepunkt erreichte. Der Angriff am 1. Juni galt einem Google Cloud-Kunden, der den DDoS-Schutzdienst Google Cloud Armor nutzt.

Im Laufe von 69 Minuten, beginnend um 9:45 Uhr PT, bombardierten die Angreifer den HTTP/S Load Balancer des Kunden mit HTTPS-Anfragen, beginnend mit 10.000 rps und innerhalb von Minuten auf 100.000 rps ansteigend, bevor sie einen Spitzenwert von 46 Millionen rps erreichten.

Laut Google handelt es sich um den bisher größten Angriff auf Layer 7, der Anwendungsschicht – der obersten Schicht – im OSI-Modell des Internets. Der Angriff auf den Google-Kunden war fast doppelt so groß wie ein HTTPS-DDoS-Angriff auf einen Cloudflare-Kunden im Juni, der einen Spitzenwert von 26 Millionen Rps erreichte. Dieser Angriff stützte sich ebenfalls auf ein relativ kleines Botnet, das aus 5.067 Geräten in 127 Ländern bestand.

Der Angriff auf den Google-Kunden wurde ebenfalls über HTTPS durchgeführt, verwendete aber „HTTP Pipelining“, eine Technik zur Erhöhung der RPS. Laut Google kam der Angriff von 5.256 Quell-IP-Adressen aus 132 Ländern.

„Der Angriff nutzte verschlüsselte Anfragen (HTTPS), deren Erzeugung zusätzliche Rechenressourcen erfordert hätte“, so Google. „Obwohl die Beendigung der Verschlüsselung notwendig war, um den Datenverkehr zu untersuchen und den Angriff wirksam zu entschärfen, musste Google aufgrund der Verwendung von HTTP-Pipelining relativ wenige TLS-Handshakes durchführen.“

Laut Google passen die geografische Verteilung und die Art der ungesicherten Dienste, die für den Angriff verwendet wurden, zur Mēris-Familie der Botnets. Mēris ist ein IoT-Botnetz, das im Jahr 2021 auftauchte und hauptsächlich aus kompromittierten MikroTik-Routern bestand.

Forscher von Qrator, die zuvor die Verwendung von HTTP-Pipelining durch Mēris analysierten, erklärten, dass diese Technik darin besteht, trashige HTTP-Anfragen in Stapeln an einen gezielten Server zu senden und diesen zu zwingen, auf diese Anfrage-Stapel zu antworten. Pipelining erhöht die Geschwindigkeit, aber wie von Google erwähnt, war es bei dieser Technik nicht erforderlich, TLS-Handshakes abzuschließen.

Cloudflare führte den Angriff mit 26 Millionen Rps auf das so genannte Mantis-Botnet zurück, das als Weiterentwicklung von Mēris gilt. Mantis wurde laut Cloudflare von gekaperten virtuellen Maschinen und Servern betrieben, die von Cloud-Unternehmen gehostet wurden, und nicht von IoT-Geräten mit geringer Bandbreite.

Google stellte fest, dass dieses mit Mēris verwandte Botnetz ungesicherte Proxys nutzte, um den wahren Ursprung der Angriffe zu verschleiern.

Es stellte auch fest, dass etwa 22% oder 1.169 der Quell-IPs Tor-Exit-Knoten entsprachen, aber das Anfragevolumen, das von diesen Knoten kam, betrug nur 3% des Angriffsverkehrs.

„Während wir glauben, dass die Beteiligung von Tor an dem Angriff aufgrund der Art der verwundbaren Dienste zufällig war, zeigt unsere Analyse, dass selbst bei 3 % des Spitzenwertes (mehr als 1,3 Millionen rps) Tor-Exit-Nodes eine beträchtliche Menge an unerwünschtem Verkehr an Webanwendungen und -dienste senden können.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago