Google a réussi à contenir une attaque DDoS dont les chiffres ont de quoi donner le tournis : un pic à 46 millions de requêtes par seconde, dont 3 % provenant du réseau Tor. 5 256 adresses IP de 132 pays étaient impliquées, vraissembablement via un botnet de la famille Mēris.
Les attaques DDoS sont à la fois un fléau contre lequel il faut lutter pour éviter de paralyser tout ou partie d'une infrastructure, mais ils sont aussi un « formidable » outil de communication pour certains géants du cloud. En effet, lorsqu’ils parviennent à les bloquer c’est aussi l’occasion de s’en vanter et mettre en avant de gros chiffres et d’annoncer de nouveaux records.
L’intensité des attaques DDoS augmente…
En août 2021, CloudFlare revendiquait ainsi avoir bloqué une attaque DDoS avec pas moins de 17,2 millions de requêtes par seconde. Une attaque « presque trois fois plus importante que toutes les précédentes » dont la société avait alors connaissance.
Quelques semaines plus tard, Yandex était à son tour victime d’une cyberattaque avec 21,8 millions de requêtes. Rebelote chez CloudFlare en avril avec 15 millions avant un nouveau record à 26 millions en juin. A chaque fois, des billets de blogs pour expliquer comment l'infrastructure en était venue à bout ou revendiquer « la plus grosse attaque HTTPS DDoS de l’histoire ».
De son côté, Microsoft expliquait récemment que les attaques DDoS s’intensifiaient, à la fois en fréquence et en puissance. La société assurait avoir enregistré une attaque record à 2,4 Tb/s en octobre, puis un nouveau record à 3,47 Tb/s en novembre.
… pour atteindre 46 millions de requêtes par seconde
C’est donc au tour de Google Cloud de sortir du bois, confirmant évidemment les tendances de CloudFlare et Microsoft : « les attaques par déni de service distribué (DDoS) augmentent en fréquence et en volume de manière exponentielle ». L’entreprise revendique désormais la couronne de la plus grosse attaque avec 46 millions de requêtes par seconde, « soit au moins 76 % de plus » que celle de CloudFlare (26 millions).
Google propose une comparaison : « Pour donner une idée de l’ampleur de l’attaque, c’est comme recevoir toutes les demandes quotidiennes de Wikipédia (l’un des 10 sites Web les plus fréquentés au monde) en seulement 10 secondes ».
La société de Mountain View en profite évidemment pour mettre en avant sa solution Armor Adaptative Protection (on vous épargne le discours marketing), mais aussi donner une chronologie de l’attaque. Elle a commencé le 1er juin, à 18h45 heure française, avec 10 000 requêtes par seconde. Huit minutes plus tard, elle est passée à 100 000 requêtes par seconde.
Plus de 5 000 adresses IP de 132 pays, avec des nœuds Tor
Elle prend ensuite de l’ampleur pour atteindre 46 millions de requêtes par seconde quelques minutes plus tard, avant une accalmie et même un arrêt total un peu plus plus tard à 19h54 heure française. Selon Google, « l'attaquant a vraisemblablement déterminé que son attaque n’avait pas l'impact souhaité, alors qu’il engageait des dépenses importantes pour l’exécuter ».
5 256 adresses IP provenant de 132 pays auraient été impliquées dans cette attaque, toujours selon Google. Géographiquement, quatre pays – Brésil, Inde, Russie et Indonésie – ont contribué à hauteur de 31 %. Autre point intéressant : « Environ 22 % (1 169) des adresses IP correspondaient à des nœuds de sortie Tor, mais le volume provenant de ces nœuds ne représentait que 3 % du volume des requêtes ».
L’utilisation de Tor était « secondaire » précise Google, mais 3 % du trafic pendant le pic cela représente tout de même 1,3 million de requêtes par seconde. Pour l’entreprise, cela indique que « les nœuds de sortie de Tor peuvent envoyer une quantité importante de trafic indésirable vers des applications et services web ».
Quoi qu’il en soit, Google Cloud affirme avoir bloqué cette attaque avant qu’elle n’arrive jusqu’à son client, dont le nom n’est pas précisé. On imagine que si cela avait été le cas l’entreprise ne s’en serait pas vantée aussi ouvertement. Il reste que Google s’attend, comme ses camarades, à ce que « la taille des attaques continue de croître et les tactiques d’évoluer ».
Alors que revoilà Mēris
Étant donné la topologie de cette attaque, la société pense que les pirates ont utilisé un botnet de la famille Mēris, sans plus de précision.
Ce dernier était déjà derrière l’attaque de Yandex en septembre dernier. Qrator Labs avait alors consacré un billet de blog à ce botnet. On y apprenait notamment que trois principaux pays d’où venaient les adresses IP étaient le Brésil, l’Indonésie et l’Inde, trois pays qu'on retrouve dans le Top 4 de l’attaque visant Google.
En juin dernier, CloudFlare précisait que son attaque à 26 millions de requêtes par seconde était orchestrée par Mantis, une nouvelle évolution de Mēris. Il y a donc fort à parier que l’on entende de nouveau parler de cette famille de botnets dans les semaines et mois à venir.
