Google ліквідувала найбільшу DDoS-атаку з піком 398 млн запитів за секунду

За останні кілька років команда Google з реагування на DDoS-атаки помітила тенденцію до експоненційного зростання розмірів розподілених атак на кшталт "відмова в обслуговуванні" (DDoS). Минулого року було заблоковано найбільшу DDoS-атаку, зафіксовану на той момент. А в серпні цього року було зупинено ще більш масштабну DDoS-атаку - в 7,5 раза більше, - в якій також використовувалися нові технології, спрямовані на порушення роботи вебсайтів та інтернет-сервісів.

Нова серія DDoS-атак піка в 398 млн запитів за секунду і була заснована на новій технології HTTP/2 "Rapid Reset", яка базується на мультиплексуванні потоків, від якої постраждали багато компаній, що займаються розвитком інфраструктури Інтернету. Для порівняння, пік найбільшої DDoS-атаки, зареєстрованої минулого року, становив 46 млн запитів на секунду.

Для розуміння масштабу можна сказати, що в результаті цієї двохвилинної атаки було згенеровано більше запитів, аніж загальна кількість переглядів статей у Вікіпедії за весь вересень 2023 року.

Повідомляється, що остання хвиля атак почалася наприкінці серпня і триває досі, причому атаки зазнали великі постачальники інфраструктури, включаючи сервіси Google, інфраструктуру Google Cloud і клієнтів компанії. Попри те, що ці атаки є одними з наймасштабніших за всю історію існування Google, її глобальна інфраструктура балансування навантаження та захисту від DDoS-атак допомогла зберегти працездатність сервісів. Для захисту Google, її клієнтів та всього Інтернету компанія спільно з партнерами по галузі змогли розібратися в механізмі атак та виробити заходи щодо їх нейтралізації, які можуть бути вжиті у відповідь на ці атаки.

DDoS-атаки можуть мати найрізноманітніші наслідки для організацій-жертв, включаючи втрату бізнесу та недоступність критично важливих програм, що часто вартує їм часу та грошей. Час відновлення після DDoS-атак може затягнутися надовго.

Проведене Google розслідування показало, що в ході атаки використовувалася нова технологія Rapid Reset, що використовує мультиплексування потоків, властивість широко поширеного протоколу HTTP/2.

Атаку було нейтралізовано на кордоні мережі Google з використанням значних інвестицій у прикордонні потужності, щоб сервіси самої Google та її клієнтів залишилися практично незайманими. У міру уточнення методики атаки було розроблено ряд заходів щодо її зниження та оновлено проксі-сервери та системи захисту від атак на відмову в обслуговуванні, щоб ефективно протистояти цьому методу. Оскільки балансувальник навантаження програм Google Cloud і Cloud Armor використовують ту ж програмно-апаратну інфраструктуру, що й Google для обслуговування власних інтернет-сервісів, клієнти Cloud, які використовують ці сервіси, захищені аналогічним чином.

Виявивши перші з цих атак у серпні, компанія Google застосувала додаткові стратегії захисту та скоординувала дії у відповідь з іншими постачальниками хмарних послуг та розробниками програмного забезпечення, що реалізує стек протоколів HTTP/2. Обмін інформацією про атаки та методи їх запобігання йшов у режимі реального часу у міру їхнього розгортання.

Результатом такого міжгалузевого співробітництва стали патчі та інші методи захисту, які використовуються багатьма великими постачальниками інфраструктури. Ця співпраця допомогла підготувати ґрунт для нинішнього скоординованого відповідального розкриття інформації про нову методологію атаки та потенційну вразливість безлічі поширених відкритих та комерційних проксі-серверів, серверів додатків та балансувальників навантаження.

Колективна сприйнятливість до цієї атаки відстежується як CVE-2023-44487 і позначена як уразливість високого ступеня тяжкості з CVSS-балом 7,5 (10).

Компанія Google висловлює щиру подяку всім зацікавленим сторонам, які співпрацювали, обмінювалися інформацією, прискорили процес виправлення своєї інфраструктури та швидко надали виправлення своїм клієнтам.

Атаку може зазнати будь-яке підприємство або приватна особа, яка обслуговує робоче навантаження на основі HTTP в Інтернеті. Вразливими можуть бути вебпрограми, сервіси та API на сервері або проксі-сервері, здатні взаємодіяти за протоколом HTTP/2. Організаціям слід переконатися в тому, що всі сервери з підтримкою HTTP/2, що використовуються, не вразливі, або застосувати виправлення виробника для CVE-2023-44487, щоб обмежити вплив цього вектора атаки. Якщо ви керуєте або експлуатуєте власний сервер з підтримкою протоколу HTTP/2 (з відкритим вихідним кодом або комерційний), вам слід негайно застосувати виправлення від відповідного виробника, як тільки воно стане доступним.

Захиститися від масованих DDoS-атак, подібних до описаних тут, досить складно. Як із патчами, так і без них організаціям доведеться вкладати значні кошти в інфраструктуру, щоб підтримувати працездатність сервісів при атаках помірного та більшого масштабу. Зазначається, що замість того, щоб самим нести такі витрати, організації, які використовують сервіси Google Cloud, можуть скористатися інвестиціями компанії в глобальну мережу Cross-Cloud Network для доставлення та захисту своїх додатків.

Клієнти Google Cloud, які надають свої сервіси за допомогою глобального або регіонального балансувальника навантаження додатків, отримують переваги постійно включеного захисту від DDoS-атак Cloud Armor, що дозволяє швидко нейтралізувати атаки, що використовують такі вразливості, як CVE-2023-44487.

Попри те, що за допомогою постійно включеного захисту від DDoS-атак Cloud Armor вдається ефективно поглинати більшість із сотень мільйонів запитів за секунду на кордоні мережі Google, мільйони небажаних запитів за секунду все-таки можуть проникати всередину. Для захисту від цієї та інших атак сьомого рівня також рекомендується розгорнути настроювані політики безпеки Cloud Armor з проактивними правилами обмеження швидкості та адаптивним захистом на основі штучного інтелекту для більш комплексного виявлення, аналізу та усунення наслідків атак.

Стратегія охолодження ЦОД для епохи AI