Google wehrt Rekord-DDoS-Angriff ab

Anfang Juni 2022 wurde ein Kunde von Googles Netzsicherheitsdienst Cloud Armor Opfer eines DDoS-Angriffs (Distributed Denial-of-Service). Laut Google handelt es sich dabei um die bisher größte Attacke auf Layer 7, der Anwendungsschicht. Mit 46 Millionen Anfragen für HTTPS-Verbindungen pro Sekunde habe der Angriff einen Spitzenwert erreicht, schreibt das Unternehmen in einem aktuellen Blog-Beitrag.

Zunächst wurde der HTTP/S Load Balancer des Kunden mit 10.000 Anfragen pro Sekunde (Requests per second - RPS) bombardiert. Doch wenige Minuten später stieg die Anzahl um den Faktor 10 auf 100.000 Anfragen pro Sekunde. Nach eigenen Angaben konnte Google den Angriff jedoch rechtzeitig abwehren. Das Unternehmen empfahl dem betroffenen Kunden, eine Sicherheitsregel umzusetzen, um den Angriff zu blockieren. Daraufhin reagierten die Angreifer mit mehreren Millionen Anfragen pro Sekunde, bevor sie den Höchstwert von 46 Millionen erreichten.

Woher kommen die DDoS-Angriffe?

Damit übertraf der Angriff sogar eine abgewehrte DDoS-Attacke auf einen Cloudflare-Kunden im Juni, die den Spitzenwert von 26 Millionen RPS hatte. Google verweist darauf, dass es neben der enormen Datenflut weitere Besonderheiten gab. So hätten die Täter "HTTP Pipelining" verwendet, eine Technik zur Erhöhung der RPS. Der Angriff sei von 5.256 Quell-IP-Adressen aus 132 Ländern durchgeführt worden.

Darüber hinaus stellte das Tech-Unternehmen fest, dass die Täter ungesicherte Proxys missbrauchten, um den wahren Ursprung der Angriffe zu verschleiern. Doch die geografische Verteilung und die Art der ungesicherten Dienste würde zur Meris-Familie der Botnets passen, spekuliert Google. Meris ist bekannt für massive DDoS-Angriffe.

Zudem fanden die Google-Forscher heraus, dass etwa 22 Prozent (1.169) der Quell-IPs Tor-Exit-Knoten entsprachen. Das Anfragevolumen, das von diesen Knoten kam, betrug demnach jedoch nur drei Prozent des Angriffsverkehrs. "Während wir glauben, dass die Beteiligung von Tor an dem Angriff aufgrund der Art der verwundbaren Dienste zufällig war, zeigt unsere Analyse, dass selbst bei drei Prozent des Spitzenwertes (mehr als 1,3 Millionen RPS) Tor-Exit-Nodes eine beträchtliche Menge an unerwünschtem Verkehr an Webanwendungen und -dienste senden können", warnen die Experten.

Laut Google wird das Ausmaß von Angriffen weiter wachsen und Taktiken werden sich weiterentwickeln. Um darauf vorbereitet zu sein, empfiehlt der Tech-Konzern eine umfassende Verteidigungsstrategie in den Unternehmen zu etablieren. Dabei sollten Abwehrmaßnahmen und Kontrollen auf mehreren Ebenen der Umgebung und des Netzwerks implementiert werden, um Internetanwendungen und -dienste vor gezielten Webangriffen zu schützen.