这是我们如何阻止有史以来最大的网络DDoS攻击

谷歌云透露，它阻止了有史以来最大的分布式拒绝服务(DDoS)攻击，该攻击的峰值为每秒4600万个请求(rps)。6月1日的攻击针对的是一位使用GoogleCloudArmorDDoS保护服务的GoogleCloud客户。

从太平洋时间上午9点45分开始，在69分钟的时间里，攻击者用HTTPS请求轰炸其客户的HTTP/S负载均衡器，从10,000rps开始，几分钟内增加到100,000rps，然后达到高达4600万rps的峰值。

对Google客户的攻击几乎是6月份对Cloudflare客户的HTTPSDDoS攻击规模的两倍，当时的峰值为2600万转/秒。该攻击还依赖于一个相对较小的僵尸网络，该网络由分布在127个国家/地区的5,067台设备组成。

对谷歌客户的攻击也是通过HTTPS进行的，但使用了“HTTP管道”，这是一种扩大rps的技术。谷歌表示，此次攻击来自132个国家/地区的5,256个源IP地址。

谷歌表示：“这次攻击利用了加密请求(HTTPS)，这需要额外的计算资源才能生成。”

“虽然终止加密对于检查流量和有效缓解攻击是必要的，但使用HTTP管道需要谷歌完成相对较少的TLS握手。”

谷歌表示，用于生成攻击的不安全服务的地理分布和类型与Mēris僵尸网络家族相匹配。Mēris是2021年出现的物联网僵尸网络，主要由受感染的MikroTik路由器组成。

Qrator的研究人员之前分析了Mēris对HTTPPipelining的使用，解释说该技术涉及将垃圾HT​​TP请求分批发送到目标服务器，迫使它响应这些请求批次。流水线化扩展了rps，但正如谷歌所提到的，该技术不需要它来完成TLS握手。

Cloudflare将2600万rps的攻击归因于它所谓的Mantis僵尸网络，它认为这是Mēris的演变。据Cloudflare称，Mantis由被劫持的虚拟机和云公司托管的服务器提供支持，而不是低带宽物联网设备。

查看：如何确定您是否涉及数据泄露——以及下一步该怎么做

谷歌指出，这个与Mēris相关的僵尸网络滥用不安全的代理来混淆攻击的真正来源。

它还指出，大约22%或1,169个源IP对应于Tor出口节点，但来自这些节点的请求量仅占攻击流量的3%。

“虽然我们认为由于易受攻击服务的性质，Tor参与攻击是偶然的，即使是峰值的3%(大于130万rps)，我们的分析表明Tor出口节点可以发送大量不受欢迎的流量到网络应用程序和服务。”