Google Cloud у червні вдалося відбити найбільшу в історії DDoS-атаку, інтенсивність якої сягала 46 млн запитів за секунду (RPS). Атака тривала трохи більше години, але дозволила експертам зробити важливі висновки: однією із загроз сьогодні можуть бути навіть вузли Tor.

У спробі описати масштаби інциденту співробітники Google Еміль Кінер (Emil Kiner) і Сатья Кондуру (Satya Konduru) запропонували уявити, що означає обробляти всі запити, що надходять за один день до «Вікіпедії» (входить до десятки найбільш відвідуваних сайтів у світі) всього за 10 секунд . Експертів Google та інших фахівців з кібербезпеки всерйоз непокоїть той факт, що ситуація з DDoS-атаками неухильно посилюється - вони виробляються все частіше, а їхня інтенсивність зростає.

Атака на ресурси Google Cloud почалася о 09:45 за часом Тихоокеанського узбережжя США (19:45 за київським часом) з інтенсивністю 10 тис. RPS, а вже через 8 хвилин посилилася до 100 тис. RPS. Ще через 2 хвилини вона досягла пікових 46 млн RPS. На той час служба захисту Google Cloud Armor виявила факт атаки та рекомендувала клієнтам впровадити у політику безпеки запити із шкідливою сигнатурою. Після цього атака пішла на спад і остаточно завершилася о 10:54 за місцевим часом (20:54 ЕЕТ). Співробітники Google відзначили деякі «відмінні риси» інциденту, а також встановили зв'язок з недавньою атакою на ресурси Cloudflare і навіть знайшли ознаки ботнету Mēris, від якого у вересні минулого року постраждала інфраструктура «Яндекса».

У ході атаки було зафіксовано 5256 вихідних IP-адрес зі 132 країн. При атаці використовувалися HTTPS-запити - вони обходяться дорожче, ніж HTTP-запити, оскільки для встановлення безпечного з'єднання потрібно більше ресурсів. Крім того, приблизно 22% (або 1169) вихідних IP-адрес відповідали вихідним вузлам Tor. Обсяг запитів від них становив лише 3% шкідливого трафіку, проте експертам стало зрозуміло, що і вони можуть тепер створювати серйозні проблеми для веб-ресурсів та програм.