Google blokkeerde DDoS-aanval van - opnieuw - een recordkracht

De aanval op de Google-klant vond plaats op 1 juni aan de oostkust van de Verenigde Staten en begon om kwart voor tien lokale tijd. De aanval duurde een kleine 70 minuten. De aanvallers startten met het bombarderen van de HTTP/S Loadbalancers met HTTPS-requests. Aanvankelijk ging het nog om 10.000 requests per seconde, maar binnen enkele minuten groeide de stroom tot 100.000 rps, om na ruim een half uur opeens binnen 10 seconden een tsunami van 46 miljoen rps los te laten. Daarna zakte de kracht langzaam af, tot deze om tien voor half elf opeens stopte.

Google zegt dat op het piekmoment 5.256 apparaten verspreid over 132 landen betrokken waren bij de aanval. Dit relatief kleine botnet is er waarschijnlijk een uit de Mēris-familie, die vooral bestaat uit besmette MicroTik-routers, meldt ZDnet. Mēris werd in 2021 voor het eerst ontdekt en onderzocht door onder meer IT-beveiliger Qrator. Het Mēris-botnet is sluw opgezet volgens Google omdat het de oorsprong van de aanval afschermt door gebruik te maken van proxies.

Volgens Google ging het om de grootste Layer 7- (de applicatielaag) aanval ooit. De aanval verliep over HTTPS, maar de aanvallers zetten ook een techniek genaamd 'HTTP-pipelining' in die helpt het aantal requests per seconde verder op te schroeven.

Mantis en Mēris

Ook in juni meldde Cloudflare de tot dan toe krachtigste DDoS-aanval met een piek van 26 miljoen rps. Ook in dat geval werd gebruik gemaakt van een relatief klein botnet, genaamd Mantis. Dit botnet wordt gezien als een evolutie van het Mēris-botnet en is bijzonder omdat het virtual machines en servers gebruikt die worden gehost door cloudbedrijven. In dat geval waren 5.067 apparaten uit 127 landen betrokken bij de aanval.