A A+ A++

Korporacja podała dopiero teraz, że udało jej się powstrzymać na początku czerwca tego roku webowy atak DDoS mający zablokować system IT należący do jednego z jej klientów, który w szczytowym momencie generował w ciągu jednej sekundy aż 48 mln żądań WWW.

Chodzi o firmę, która korzysta z zaprojektowanej przez Google usługi bezpieczeństwa Cloud Armor DDoS. Haker bombardował przez ponad godzinę serwery należące do tej firmy żądaniami HTTPS, których z upływem czasu ciągle przybywało. Ataki takie są dla hakerów trudne do przeprowadzenia, gdyż cała komunikacja jest szyfrowana. Najpierw było to zaledwie 10 tys. żądań na sekundę, aby po pewnym czasie osiągnąć wielkość 100 tys. żądań na sekundę, w końcowej fazie sięgając prawie 46 mln żądań na sekundę.

Google twierdzi, że był to największy w historii atak przeprowadzony w warstwie 7 modelu OSI, znanej jako warstwa aplikacji. Jego siła była dwa razy większa od podobnego ataku odnotowanego nieco później przez firmę Cloudflare, którego siła osiągnęła w pewnym momencie wielkość 26 mln żądań na sekundę.

Zobacz również:

Badanie wykazało, że atak był przeprowadzony przez ponad 5 tys. urządzeń komputerowych zlokalizowanych w ponad 130 krajach. Google twierdzi, że rozkład geograficzny oraz rodzaje usług użytych do wygenerowania ataku wskazują na to, że za atak odpowiada botnet należący do rodziny Meris, który wykorzystuje do tego celu urządzenia IoT. Botnet ten stosuje prostą, aczkolwiek skuteczną technikę polegającą na zasypywaniu swej ofiary (czyli webowego serwera) prostymi żądaniami HTTTP, których jest tak wiele, żę serwer zawiesza się i odmawia w pewnym momencie świadczenia usług.

Firma Cloudflare przypisała przeprowadzony na nią atak o wielkości 26 mln żądań na sekundę botnetowi Mantis, który należy do tej samej grupy zagrożeń co Meris. Według Cloudflare, botnet Mantis zagnieździł się w maszynach wirtualnych i serwerach hostowanych przez firmy w chmurze, a nie w urządzeniach IoT o niskiej przepustowości, jak ma to miejsce w przypadku botnetu Meris.

Google zwrócił przy tym uwagę na fakt, że botnet Meris wykorzystywał niezabezpieczone serwery proxy, po to aby utrudnić badanie mające wykryć prawdziwe pochodzenie ataków.

Ciekawe jest przy tym to, że 22% adresów IP atakujących system IT pochodziło z sieci Tor, ale odsetek żądań pochodzących z tych węzłów stanowił zaledwie 3% całego ruchu generowane go przez atak.

Oryginalne źródło: ZOBACZ
0
Udostępnij na fb
Udostępnij na twitter
Udostępnij na WhatsApp

Oryginalne źródło ZOBACZ

Subskrybuj
Powiadom o

Dodaj kanał RSS

Musisz być zalogowanym aby zaproponować nowy kanal RSS

Dodaj kanał RSS
0 komentarzy
Informacje zwrotne w treści
Wyświetl wszystkie komentarze
Poprzedni artykułZ Kijowa do Warszawy przez Łuków
Następny artykułWoman believed to be mother of children found dead in suitcases is in South Korea, say Seoul police