Cloudflare sa att systemet lyckades stoppa den största rapporterade DDoS-attacken i juli och förklarade i ett blogginlägg att attacken var 17,2 miljoner förfrågningar per sekund, tre gånger större än någon tidigare spelade in.
Cloudflares Omer Yoachimik förklarade i ett blogginlägg att företaget i genomsnitt tjänar över 25 miljoner HTTP -förfrågningar per sekund under 2021 Q2, vilket illustrerar attackens enormhet.
Han tillade att attacken startades av ett botnät som riktade sig till en finansbranschkund hos Cloudflare. Det lyckades träffa Cloudflare -kanten med över 330 miljoner attackbegäranden inom några sekunder, sa han.
Cloudflare
“Attackstrafiken härstammar från mer än 20 000 robotar i 125 länder runt om i världen. Baserat på robotarnas käll -IP -adresser kommer nästan 15% av attacken från Indonesien och ytterligare 17% från Indien och Brasilien tillsammans. Indikerar att det kan finnas många skadliga enheter i dessa länder, säger Yoachimik.
“Denna 17,2 miljoner rps -attack är den största HTTP DDoS -attack som Cloudflare någonsin har sett och nästan tre gånger så stor som alla andra rapporterade HTTP DDoS -attacker. Denna specifika botnät har dock setts minst två gånger under de senaste veckorna . Bara förra veckan riktade den sig också mot en annan Cloudflare-kund, en värdleverantör, med en HTTP DDoS-attack som nådde strax under 8 miljoner rps. “
Yoachimik noterade att två veckor innan dess, en Mirai-variant botnet “lanserade över ett dussin UDP- och TCP -baserade DDoS -attacker som toppade flera gånger över 1 Tbps, med en maximal topp på cirka 1,2 Tbps.”
Cloudflare-kunder-inklusive ett spelbolag och en stor APAC-baserad telekommunikations- och värdleverantör-riktas mot attacker mot både Magic Transit- och Spectrum-tjänsterna samt WAF/CDN-tjänsten.
Enligt Yoachimik genererade Mirai botnät en betydande mängd attacktrafik trots att den krympt till cirka 28 000 efter att ha börjat med cirka 30 000 robotar.
“Dessa attacker går med på ökningen av Mirari-baserade DDoS-attacker som vi har observerat på vårt nätverk under de senaste veckorna. Bara i juli ökade L3/4 Mirai-attacker med 88% och L7-attacker med 9 %, “Sa Yoachimik.
“Dessutom, baserat på det nuvarande genomsnittet i augusti per dag av Mirai-attackerna, kan vi förvänta oss att L7 Mirai DDoS-attacker och andra liknande botnet-attacker ökar med 185% och L3/4-attacker med 71% i slutet av månaden.”
Mirai botnet -attack träffar tusentals hemroutrar och slänger användare offline
Tysklands federala säkerhetskontor bekräftade att nästan en miljon kunder i landet drabbades av internetavbrott som ett resultat av attacken.
Läs mer
Tyler Shields, CMO på JupiterOne, kallade attacken på 17,2 miljoner för “betydande” och sa till ZDNet att förmågan för en DDoS -attack att nå den nivån av bandbreddsutmattning innebär att det finns en betydande backend -infrastruktur av antingen komprometterade värdar eller värdar som har skalats upp med det enda syftet att skicka skadlig trafik.
“Det enda andra sättet att uppnå dessa nivåer av bandbredd är att koppla ihop en enorm infrastruktur med någon form av paketförstärkningsteknik. Hur som helst är detta en meningsfull attack som inte genererades av en slumpmässig angripare. Detta grupper troligen stora, välfinansierade och dedikerade, säger Shields.
Howard Ting, VD på Cyberhaven, tillade att DDoS -attacker är ett växande problem och ett som vi borde förvänta oss att se mer av.
Han noterade att botnät, till exempel Mirai som startade attacken, starkt förlitar sig på komprometterade IoT -enheter och andra ohanterade enheter.
“I takt med att antalet enheter växer, så ökar också den potentiella armén för DDoS-attacker,” sade Ting.
Cloudflare
Yoachimik sa att deras autonoma DDoS -skyddssystem upptäckte attacken på 17,2 miljoner och noterade att deras system drivs av en mjukvarudefinierad denial of service-demon som de kallar dosd.
“En unik dosd-instans körs på varje server i vart och ett av våra datacenter runt om i världen. Varje dosd-instans analyserar oberoende trafikprov utanför vägen. Genom att analysera trafik utanför vägen kan vi skanna asynkront efter DDoS-attacker utan att orsaka latens och påverkar prestanda, säger Yoachimik.
“DDoS-fynd delas också mellan de olika dosd-instanserna i ett datacenter, som en form av proaktiv hotinformation om delning. När en attack detekteras genererar våra system en begränsningsregel med en signatur i realtid som matchar attackmönstren. regel sprids till den mest optimala platsen i teknikstacken. ”
Säkerhet
Kaseya ransomware attack: Vad du behöver veta Surfshark VPN recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar till fler attacker (ZDNet YouTube)
Relaterade ämnen :
Nätverkssäkerhet TV-datahantering CXO-datacenter 