Le géant a révélé en fin de semaine dernière avoir stoppé le 1er juin une attaque DDoS avec un pic record de 46 millions de requêtes par seconde.
Google Cloud bloque chaque semaine des milliers d'attaques par déni de service distribué via son produit de sécurité Armor. Celle qui a eu lieu le 1er juin et ciblait un des clients du service a commencé comme tant d'autres. Vers 9h45, le client repère une attaque de plus de 10 000 requêtes par seconde qui malmène son load balancer.
Huit minutes plus tard, l'attaque grimpe à 100 000 requêtes HTTPS par seconde. « Cloud Armor Adaptive Protection a détecté l'attaque et généré une alerte contenant la signature de l'attaque » écrit Google Cloud le 18 août. « L'équipe de sécurité réseau de notre client a déployé la règle recommandée par Cloud Armor dans sa politique de sécurité, et elle a immédiatement commencé à bloquer le trafic d'attaque ». Attaque qui, deux minutes plus tard, atteint un pic de 46 millions de requêtes par seconde.
De 10 000 à 46 millions en 10 minutes
Selon Google Cloud, ce chiffre record correspond aux requêtes sur Wikipédia en une journée cumulée sur seulement 10 secondes. Environ une heure plus tard, l'attaque s'achevait, l'attaquant ayant vraisemblablement jeté l'éponge après avoir constaté que sa DDoS n'avait pas eu l'impact escompté.
Dans son post-mortem, le géant américain explique que cette attaque s'appuyait sur 5 256 adresses IP sources de 132 pays, dont 22 % correspondaient à des nœuds de sortie Tor, « bien que le volume de requêtes provenant de ces nœuds ne représente que 3 % du trafic d'attaque ». Pour Google, cette attaque porte la marque de Meris, un botnet actif de 2018 à 2021, que l'on pense disparu mais dont les héritiers, eux, frappent encore.