Google stelt in juni de grootse DDoS-aanval ooit geblokkeerd te hebben. Tijdens de aanval piekte het aantal HTTPS-verzoeken op 46 miljoen per seconde. Het Meris-botnet zat waarschijnlijk achter de aanval.

Volgens Google ging het om de grootse Layer 7 DDoS-aanval ooit. De aanval was erop gericht de internetdiensten van één van de klanten van Google Cloud te verstoren.

De aanval van maar liefst 46 miljoen verzoeken per seconde werd uitgevoerd op basis van HTTPS-verzoeken. Dit is vergelijkbaar met alle dagelijkse toegangsverzoeken tot Wikipedia in slechts 10 seconden. Dit maakte de aanval tot een factor 76 krachtiger dan een andere soortgelijke HTTPS-aanval die rond dezelfde tijd door Cloudflare werd ontdekt. Deze aanval vond plaats met 26 miljoen verzoeken per seconde

Aanvalsverloop

In eerste instantie nam de Google Cloud Armor anti-DDoS-dienst een aanval van ongeveer 10.000 verzoeken per seconde waar. Deze escaleerde vervolgens binnen 8 minuten naar 100.000 verzoeken.

De Cloud Armor-dienst kwam meteen in actie, genereerde een alert en begon met het blokkeren van het kwaadaardige webverkeer. In de twee minuten die daarop volgden steeg het kwaadaardige verkeer verder door en bereikte de piek van 46 miljoen verzoeken per seconde.

De anti-DDos-diensten slaagde erin de aanval af te weren, waardoor het verstoren van de internetdiensten van de klant mislukte. Na enkele minuten nam vervolgens het kwaadaardige verkeer af in omvang. Iets meer dan uur later was de aanval voorbij. Waarschijnlijk kregen de aanvallers door dat zij niet de impact kregen die zij wilden, zo geeft Google Cloud aan.

Met Cloud Armour is het mogelijk een basismodel voor normaal internetverkeer in kaart te brengen voor website van klanten. Ook kan de dienst het verkeer naar deze sites reguleren, zodat klanten kwaadaardig verkeer kunnen afknijpen, terwijl legitiem verkeer ongestoord kan plaatvinden.

Meris-botnet waarschijnlijk verantwoordelijk

Uit nader onderzoek constateert de public cloudgigant dat de aanval waarschijnlijk door het Meris-botnet werd uitgevoerd. Dit botnet bestaat uit geïnfecteerde modems en routers van het merk MikroTik. Het botnet is berucht om meerdere grote DDoS-aanvallen. Bijvoorbeeld vorig jaar op de Russische zoekmachine Yandex.

DDoS-aanvallen nemen volgens verschillende securityexperts de laatste tijd in alle hevigheid toe. Volgens onderzoekers van Kaspersky bereikten dit soort aanvallen in het eerste kwartaal van dit jaar een ‘all time high’. Hierbij lag het percentage aanvallen maar liefst 46 procent hoger dan dan in het laatste kwartaal van 2021.

Tip: Cloudflare slaat grootste HTTPS DDoS-aanval aller tijden af