Google bloqueó el ataque DDoS más grande registrado en la historia con su servicio Cloud

Google comunicó que logró bloquear el mayor ataque DDoS de la historia el pasado 1 de junio mediante su servicio Cloud. La firma tecnológica reveló que este ataque de denegación de servicio reportó la descomunal cantidad de 46 millones de peticiones por segundo.

A través de su blog oficial, Google Cloud mencionó que este ataque en específico fue un 76% más grande que el récord anteriormente reportado, y para que los usuarios se hagan una idea de su escala lo comparó con recibir todas las peticiones diarias de Wikipedia -una de las 10 web más visitadas del mundo- en tan solo 10 segundos.

Google Cloud logró bloquear un ataque devastador

La compañía detalló que su servicio Cloud Armor Adaptive Protection fue capaz de detectar y analizar el tráfico en la etapa temprana del ciclo vital del ataque. Cloud Armor alertó al cliente con una regla de protección recomendada que se desplegó antes de que el ataque alcanzara su máxima magnitud. El servicio bloqueó el ataque tras asegurar que el servicio del cliente permaneciera en línea y continuara sirviendo a sus usuarios finales.

En el ataque, se presentaron 5.256 IPs de 132 países distintos que contribuyeron al ataque. Los cuatro primeros países contribuyeron con aproximadamente el 31% del tráfico total del ataque. El ataque aprovechó las solicitudes cifradas, cuya generación habría requerido recursos informáticos adicionales.

Aproximadamente el 22% (1.169) de las IPs correspondían a nodos de salida de Tor, aunque el volumen de peticiones procedentes de esos nodos representaba sólo el 3% del tráfico del ataque. Google considera que la participación de Tor en el ataque fue incidental debido a la naturaleza de los servicios vulnerables, incluso con un 3% del pico. El análisis muestra que los nodos de salida de Tor pueden enviar una cantidad significativa de tráfico no deseado a aplicaciones y servicios web.

La distribución geográfica y los tipos de servicios no seguros aprovechados para generar el ataque son similares a los de la familia de ataques Mēris, conocida por sus ataques masivos que han batido récords de DDoS. El método Mēris abusa de los proxies no seguros para ocultar el verdadero origen de los ataques.

El método de Google Cloud para bloquear el ataque

Google detalla que el ataque se detuvo en el borde de su red y las peticiones maliciosas se bloquearon en la parte superior de la aplicación del cliente. Antes de que el ataque comience, la víctima ya había configurado la función Adaptive Protection en su política de seguridad pertinente de Cloud Armor para aprender y establecer un modelo de referencia de los patrones de tráfico normales para su servicio.

Gracias a esto, Adaptive Protection fue capaz de detectar el ataque DDoS en una fase temprana de su ciclo de vida, analizar su tráfico entrante y generar una alerta con una regla de protección recomendada, todo ello antes de que el ataque se intensifique. El afectado actuó sobre la alerta desplegando la regla recomendada aprovechando la capacidad de limitación de velocidad recientemente lanzada por el servicio para limitar el tráfico de ataque. Optó por la opción "throttle" en lugar de la acción "deny" para reducir el impacto en su verdadero tráfico mientras capacidad de ataque se limitaba con severidad.

Cuando el ataque alcanzó su pico de 46 millones de solicitudes, la regla sugerida por Cloud Armor ya estaba en funcionamiento para bloquear la mayor parte del ataque DDoS y garantizar que las aplicaciones y servicios objetivo siguieran estando disponibles.

Te recomendamos METADATA, el podcast de tecnología de RPP. Noticias, análisis, reseñas, recomendaciones y todo lo que debes saber sobre el mundo tecnológico. Para escucharlo mejor, #QuedateEnCasa.