Google Cloud는 가장 큰 DDoS 공격을 차단하고 Cloudflare의 이전 기록을 쉽게 깨뜨립니다.

지난 6월 Cloudflare는 HTTPS에 대한 최대 규모의 DDoS(분산 서비스 거부) 공격을 중단했다고 보고했습니다. 이는 지난 4월 그의 이전 기록인 1530만 rps를 넘어선 것이다. 8월로 빨리 돌아가서 Google은 이제 역사상 가장 큰 DDoS 공격을 차단하기 위해 왕관을 쓰고 있다고 발표했습니다.

Google Cloud 블로그 게시물 에서 회사는 Cloudflare보다 76% 더 많은 초당 4,600만 요청에 도달하는 DDoS 공격을 차단할 수 있다고 밝혔습니다. 이 공격의 규모에 대한 컨텍스트를 제공하기 위해 매일 전 세계 Wikipedia에 전송되는 모든 쿼리를 상상해 보세요. 이제 쿼리가 하루 종일 배포되지 않고 10초 이내에 전송된다고 상상해 보세요.

Cloud Armor를 사용하여 Google Cloud 클라이언트에서 DDoS 공격이 준비되었습니다. 구글은 서비스가 위협의 징후를 감지하자마자 고객에게 경고하고 위험을 방지하기 위한 보호 규칙을 권고했다고 말한다. 그런 다음 이 규칙은 요청이 정점에 도달하기 전에 배포되었습니다. 즉, Cloud Armor가 인프라와 워크로드를 보호하는 동안 클라이언트는 계속 온라인 상태를 유지했습니다.

Google은 공격이 6월 1일 이른 아침에 초당 10,000건의 요청 속도로 시작되었지만 8분 만에 초당 100,000건의 요청으로 공격이 증가했으며 이후 Cloud Armor의 적응형 보호가 작동했다고 보고했습니다. 2분 후 초당 요청은 4600만으로 증가했지만 클라이언트는 이제 안전하고 실행 중이었습니다. 공격은 Google Cloud Armor가 방해하여 원하는 효과가 없었기 때문에 69분 이내에 중지되었습니다.

전체 공격에 대한 분석에서 Google은 다음과 같이 언급했습니다.

이 공격은 예상 외로 많은 양의 트래픽 외에도 주목할만한 다른 특징을 가지고 있었습니다. 공격에는 132개국의 5256개의 소스 IP 주소가 포함되었습니다. 위의 그림 2에서 볼 수 있듯이 상위 4개국이 전체 공격 트래픽의 약 31%를 차지합니다. 이 공격은 암호화된 요청(HTTPS)을 사용했으며 생성하려면 추가 컴퓨팅 리소스가 필요합니다. 트래픽을 검사하고 공격을 효과적으로 완화하려면 암호화를 중지해야 했지만 HTTP 파이프라이닝을 사용하려면 Google에서 상대적으로 적은 수의 TLS 핸드셰이크를 수행해야 했습니다.

소스 IP 주소의 약 22%(1169)가 Tor 출구 노드에 해당했지만 이러한 노드에서 들어오는 요청의 양은 공격 트래픽의 3%에 불과했습니다. 3% 피크(초당 130만 요청 이상)에서도 취약한 서비스의 특성으로 인해 공격에 대한 Tor의 개입이 우발적이라고 생각하지만, 분석에 따르면 Tor 출구 노드가 상당한 양의 원치 않는 트래픽을 웹 – 애플리케이션 및 서비스.

공격을 수행하는 데 사용되는 지리적 분포 및 안전하지 않은 서비스 유형은 Mēris 공격 계열과 일치합니다. DDoS 기록을 깨는 대규모 공격으로 악명 높은 Meris의 방법은 안전하지 않은 프록시 서버를 사용하여 공격의 진정한 출처를 숨깁니다.

Google은 공격자가 DDoS를 사용하여 중요한 워크로드를 손상시키는 경우가 많다고 경고했습니다. 그래서 회사는 자세한 보호 전략과 Google Cloud Armor의 사용을 권장했습니다.