在过去几年中,Google 观察到分布式阻断攻击 (DDoS) 的频率和规模呈指数增长。当今网络工作负载不断面临攻击风险,造成性能和用户体验下降,运营和托管成本增加,任务关键型工作负载完全不可用等影响。
Google Cloud 客户可以使用 Cloud Armor 来利用 Google 全球网络规模和容量来保护他们的环境免受有史以来最大规模的 DDoS 攻击。
6月1日,应用 Cloud Armor 的客户遭到了一系列 HTTPS DDoS 攻击,峰值达到每秒4600 万次请求。这是迄今为止报告的最大的 Layer7 DDoS,至少比之前报告的攻击高出76%。这次攻击的规模,相当于在10秒内接收到对Wikipedia(世界上流量排名前10的网站)一天的所有请求。
Cloud Armor 自适应保护能够在攻击的早期检测和分析流量,并用推荐的保护规则提醒客户,然后在攻击升级到最大程度之前部署该规则。最终,Cloud Armor 阻止了这次攻击,确保客户的服务保持在线并稳定地为其终端用户提供服务。
图1:攻击峰值为每秒4600万个请求
发生了什么:攻击分析和时间线
从2022年6月1日9:45,客户的HTTP/S 负载均衡器接收到每秒超过10,000个请求 (rps) 的攻击。8分钟后,攻击增长到每秒100,000个请求。Cloud Armor 自适应保护检测到攻击,并通过评估跨越数十个特征和属性的流量,生成了包含攻击特征的警报。该警报包括一条建议规则来阻止恶意签名。以下是警报,显示了攻击达到顶峰之前的详细信息。
图 2:Cloud Armor 自适应保护警报列出了作为攻击的一部分检测到的主要区域代码
我们客户的网络安全团队将 Cloud Armor 推荐的规则部署到他们的安全策略中,并立即开始阻止攻击流量。在随后的2分钟内,攻击开始加速,从100,000 rps 增长到4600万 rps 的峰值。由于 Cloud Armor 已经封锁了攻击流量,因此目标工作负载继续正常运行。在接下来的几分钟内,攻击的规模开始减小,最终在69分钟后的10:54结束。据推测,攻击者可能察觉到未能达到预期的影响,且承担了执行攻击的大量费用。
分析攻击
除了出乎意料的高流量外,该攻击还有其它值得注意的特征。来自132个国家/地区的5,256个 IP 促成了这次攻击。正如图2中看到的,前4个国家/地区贡献了大约31%的总攻击流量。
攻击利用了加密请求 (HTTPS),这需要额外的计算资源来生成。虽然终止加密对于检查流量和有效缓解攻击是必要的,但使用 HTTP Pipelining 需要 Google 完成相对较少的 TLS 握手协议。
大约 22% (1,169) 的 IP 与 Tor 出口节点一致,但来自这些节点的请求量仅占攻击流量的 3%。我们认为 Tor 参与攻击是偶然的,在峰值的 3%(大于130 万rps)时,分析表明 Tor 出口节点还可以发送大量不受欢迎的流量到网络应用程序和服务。
用于生成攻击的不安全服务的地理分布和类型与Mēris 系列攻击一致。Mēris 攻击以其破坏 DDoS 记录的大规模攻击而闻名,它滥用不安全的代理来混淆攻击的真实来源。
Google Cloud 如何阻止攻击
恶意请求从客户应用程序的上游被阻止。在攻击开始之前,客户已经在其相关的 Cloud Armor 安全策略中配置了自适应保护,以了解并为其服务建立正常流量模式的基线模型。
自适应保护能够在早期检测到 DDoS 攻击,分析其传入流量,并生成带有推荐保护规则的警报——所有这些都在攻击加剧之前完成。客户通过部署推荐的规则来处理警报,利用 Cloud Armor最近推出的速率限制功能来限制攻击流量。他们选择了“限制”动作而不是“拒绝”动作,以减少对合法流量的影响,同时通过降低谷歌网络边缘的大部分攻击量来严格限制攻击能力。
在以强制模式部署规则之前,它首先以预览模式部署,这样一来,客户能够验证只有不受欢迎的流量才会被拒绝,而合法用户可以继续访问服务。随着攻击达到4,600万 rps 的峰值,Cloud Armor 建议的规则已经到位,以阻止大部分攻击并确保目标应用程序和服务仍然可用。
在云中保护您的应用程序
攻击规模将继续增大,战术也将继续发展。为了做好准备,Google 建议使用纵深防御策略,在您的环境和基础设施提供商的网络的多个层级部署防御和控制,以保护您的 Web 应用程序和服务免受有针对性的 Web 攻击。
MeshCloud 拥有 Google Cloud Premier Partner 资质,是 Google Cloud 在亚太区服务客户数和收入规模双领先的合作伙伴;团队拥有几十张谷歌云专家证书,同时拥有多个 Google Cloud Specialization 资质。
MeshCloud 同时为客户提供云原生定制化开发服务,为客户提供具体场景的云解决方案和软件交付。