Google предотвратил крупнейшую в истории кибератаку на свое облако

До наступления лета клиент Google Cloud оказался в центре крупнейшей в истории атаки типа "отказ в обслуживании". В недавней публикации веб-гигант объяснил, как была предотвращена атака.

На 76% больше запросов, чем предыдущий рекорд

Википедия входит в десятку самых посещаемых сайтов в мире. Ежедневно сайт получает десятки миллионов запросов, но для их обработки не хватает серверов и пропускной способности. Этот пример Google упомянул в сообщении в блоге от 19 августа 2022 года, в котором рассматривается крупнейшая в истории кибератака.

По данным компании, один из клиентов Google Cloud подвергся атаке типа "отказ в обслуживании" (DDoS), пропускная способность которой достигла не менее 46 миллионов запросов в секунду. Хотя эта атака была заблокирована, сюрпризом стала пропускная способность. Google утверждает, что это была самая крупная DDoS-атака 7-го уровня: количество запросов на 76% превысило предыдущий рекорд. Чтобы получить представление о масштабах этого явления, можно сказать, что эта атака эквивалентна получению всех ежедневных запросов Википедии всего за десять секунд.

Что еще более удивительно, Google удалось предотвратить DDoS-атаку благодаря клиенту. Клиент включил адаптивную защиту в политике безопасности Cloud Armor, которая действует как брандмауэр. Эта защита обнаружила атаку на ранней стадии ее жизненного цикла и проанализировала входящий трафик, прежде чем сгенерировать предупреждение о защите. Это произошло до того, как атака стала еще более серьезной, и за очень короткий промежуток времени (всего несколько секунд).

Функция, которая фильтрует нежелательный трафик

Средство защиты автоматически ограничило поток атаки. Таким образом, клиент, имя которого остается неизвестным, предпочел "дросселировать" атаку, а не пытаться "запретить" ее. Этот метод ограничивает воздействие на законный входящий трафик, в то же время изолируя вредоносные запросы. Поэтому сервер клиента никогда не становился недоступным, в то время как при DDoS-атаках обычно удается перегрузить цель. По словам Google, метод был сначала протестирован в режиме предварительного просмотра, прежде чем он был развернут на практике. Клиент смог проверить доступ к своему серверу, который был по-прежнему разрешен для законных запросов, но заблокирован для нежелательного трафика. И несмотря на всплеск в 46 миллионов запросов в секунду, услуги, предлагаемые клиентом, продолжали работать.

Наконец, количество IP-адресов было не таким большим по сравнению с количеством запросов, что, очевидно, облегчало блокировку. По оценкам Google, было использовано 6 000 IP-адресов из 132 стран. Однако треть запросов поступила только из четырех стран.