En los últimos meses, empresas como Microsoft o Cloudflare coparon titulares en España después de que bloquearan los ataques de denegación de servicio distribuido o DDoS más grandes de la historia. El récord lo tenía Cloudflare en junio, después que parase el hasta ese momento el DDoS más grande, con 26 millones de solicitudes por segundo. Ahora, Google se lleva la corona.
[Cómo protegerte de un ataque DDoS]
Según asegura en el blog de Google Cloud, la firma ha explicado que ha logrado bloquear el que ahora mismo se postula como el ataque DDoS más grande jamás realizado con 46 millones de solicitudes por segundo. Esto supone un aumento del 76% respecto al ataque de Cloudflare.
Imagina por un momento todas las solicitudes de publicación enviadas a nivel mundial a diario. Ahora, imagina que en 10 segundos se envían todas ellas, en vez de distribuirse durante todo un día. Esa es la escala del ataque.
Un ataque DDoS inmenso
El que la misma Google lo haya bloqueado no es por nada. Este se creó en un cliente de Google Cloud, que usaba la tecnología Cloud Armor. La compañía detrás del buscador asegura que tan pronto el sistema detectó la amenaza, alertó al cliente afectado e implantó medidas de seguridad, entre ellas una regla de protección.
Esta rule se implementó justo antes de que las solicitudes del DDoS alcanzaran su punto máximo, por lo que el cliente seguía en línea mientras Cloud Armor se encargaba de proteger la infraestructura de Google Cloud. El ataque se produjo en la madrugada del 1 de junio, y comenzó con 10.000 solicitudes por segundo.
Luego aumentó a 100.000 en 8 minutos, momento en el que se activó Cloud Armor Adaptive Protection. Solo dos minutos después, las solicitudes ascendieron a 46 millones, y el cliente seguía operativo. Tras 69 minutos de ataque, este se mitigó por sí solo, seguramente porque el atacante o atacantes no estaban consiguiendo aquello que querían.
Tal y como detalla Google, este ataque involucró a 5.256 IPs de 132 países distintos, y aprovechó las solicitudes cifradas HTTPS para generarse. Aproximadamente un 22& de las IPs correspondían de nodos de salida de Tor, aunque el volumen de las solicitudes que provenían de estos representó tan solo el 3% del ataque.
"Si bien creemos que la participación de Tor en el ataque fue incidental debido a la naturaleza de los servicios, incluso al 3% el análisis muestra que los nodos de salida de Tor pueden enviar una cantidad significativa de tráfico no deseado a aplicaciones y servicios web", especifica Google.
Aunque el ataque no tiene autoría, la metodología, "la distribución geográfica y los tipos de servicios no seguros aprovechados para generar el ataque coinciden con la familia de ataques Mēris", cree la compañía. "El método Mēris abusa de servidores proxy no seguros para ocultar el verdadero origen de los ataques".