Maior ataque DDoS já registrado atingiu pico de 398M rps

 (cloud.google.com)
1 pontos por GN⁺ 2023-10-11 | 1 comentários | Compartilhar no WhatsApp
  • Em 11 de outubro de 2023, o Google mitigou com sucesso o maior ataque DDoS (negação de serviço distribuída) já registrado, que atingiu o pico de 398 milhões de requisições por segundo (rps).
  • O ataque utilizou HTTP/2 Rapid Reset, uma nova técnica baseada em multiplexação de streams.
  • A escala do ataque foi enorme: em apenas 2 minutos, ele gerou mais requisições do que o total de visualizações de artigos reportado pela Wikipedia em setembro de 2023.
  • O ataque teve como alvo grandes provedores de infraestrutura, incluindo serviços do Google, a infraestrutura do Google Cloud e seus clientes.
  • A infraestrutura global de balanceamento de carga e mitigação de DDoS do Google ajudou a manter os serviços em operação apesar do ataque.
  • Ataques DDoS têm como objetivo interromper sites e serviços expostos à internet, tornando-os inacessíveis por meio de tráfego excessivo direcionado ao alvo.
  • O ataque usou a nova técnica "Rapid Reset", que explora a multiplexação de streams, um recurso do protocolo HTTP/2 amplamente adotado.
  • O Google conseguiu mitigar o ataque na borda da rede, aproveitando investimentos importantes em capacidade na edge.
  • O Google coordenou uma resposta entre diferentes empresas do setor junto com outros provedores de nuvem e mantenedores de software que implementam a stack do protocolo HTTP/2, compartilhando em tempo real informações sobre o ataque e os métodos de mitigação.
  • A vulnerabilidade coletiva relacionada a esse ataque está sendo rastreada como CVE-2023-44487 e foi classificada como de alto risco, com pontuação CVSS de 7,5 (de um máximo de 10).
  • Qualquer empresa ou pessoa que disponibilize workloads baseados em HTTP na internet pode estar exposta ao risco desse ataque.
  • Clientes do Google Cloud podem aproveitar os investimentos em capacidade em escala global do Google para disponibilizar e proteger aplicações na Cross-Cloud Network.
  • Clientes do Google Cloud que usam o Application Load Balancer global ou regional podem mitigar rapidamente ataques que exploram vulnerabilidades como a CVE-2023-44487 com a proteção DDoS always-on do Cloud Armor.
  • O Google também recomenda implantar políticas de segurança personalizadas do Cloud Armor e usar o Adaptive Protection com IA para detectar, analisar e mitigar com mais profundidade o tráfego de ataque.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-10-11
Comentários do Hacker News
  • Artigo sobre o maior ataque DDoS já registrado até agora, com pico acima de 398M rps
  • Está em andamento uma discussão sobre o novo ataque DDoS HTTP/2 "Rapid Reset" e a vulnerabilidade Zero-Day do HTTP/2, que resultaram nesse ataque DDoS recorde.
  • Levantam-se dúvidas sobre a motivação para realizar esses ataques DDoS e sobre por que gastar tanto dinheiro para desenvolver ataques complexos contra a infraestrutura de nuvem corporativa
  • Especula-se que o ataque possa ter vindo de concorrentes tentando enfraquecer o negócio de rivais ou de governos estrangeiros tentando prejudicar empresas de tecnologia dos EUA
  • Google, AWS e outros grandes nomes do setor perceberam o ataque ao mesmo tempo
  • Há curiosidade sobre como os principais fornecedores lidam com ataques dessa escala, se coordenam ações em tempo real para mitigá-los ou se focam em resolver apenas os próprios problemas
  • O mesmo ataque também foi observado pela Cloudflare
  • Levantam-se dúvidas sobre como funciona a mitigação de DDoS e o que significa colocar um site atrás da Cloudflare para mitigar ataques DDoS
  • O artigo fornece mais informações sobre o recurso de reset rápido do HTTP/2 usado como parte do ataque
  • O ataque gerou discussões sobre a robustez do HTTP/2 e sobre se, caso se perca a confiança no protocolo, mais gente passará a considerar a migração para HTTP/3/QUIC
  • Não há informações sobre a origem desses ataques; especula-se que exigiriam uma grande quantidade de hardware e que poderiam ser rastreados, a menos que haja uma botnet envolvida.
  • Sugere-se que a Cloudflare e outros grandes fornecedores informem aos usuários se suas redes estão participando de ataques DDoS