Google 擊退有史以來最大的 DDoS 攻擊，峰值達到每秒 3.98 億次請求

此次攻擊采用了基于流多路復(fù)用的新型 HTTP/2 "快速重置" 方法

過去幾年中，Google 的 DDoS 響應(yīng)團隊觀察到分布式拒絕服務(wù) (DDoS) 攻擊的規(guī)模呈指數(shù)級增長趨勢。去年我們抵擋了當(dāng)時記錄在案的最大 DDoS 攻擊 。今年 8 月，我們阻止了一次更大的 DDoS 攻擊，規(guī)模是去年的 7.5 倍，這次攻擊還使用了新的技術(shù)，試圖破壞網(wǎng)站和互聯(lián)網(wǎng)服務(wù)。

這一系列新的 DDoS 攻擊峰值達到了每秒 3.98 億次請求 (rps)，并使用了一種基于流多路復(fù)用的新型 HTTP/2 "快速重置" 技術(shù)，該技術(shù)已經(jīng)對多家互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司造成影響。相比之下，去年記錄在案的最大規(guī)模的 DDoS 攻擊峰值為每秒 4600 萬次請求。

就規(guī)模而言，這起兩分鐘的攻擊產(chǎn)生的請求數(shù)量超過了維基百科報告的 2023 年 9 月全月的文章瀏覽總量。

Google 擊退了峰值達每秒3.98億次請求的

DDoS 攻擊

最近一波攻擊始于 8 月下旬，并持續(xù)至今，攻擊目標(biāo)主要是基礎(chǔ)設(shè)施提供商，其中包括 Google 服務(wù)、Google Cloud 基礎(chǔ)設(shè)施和 Google Cloud 的客戶等。盡管這些攻擊是 Google 所見過的規(guī)模最大的攻擊之一，但我們的全球負載平衡和 DDoS 緩解基礎(chǔ)設(shè)施幫助我們保障了服務(wù)的正常運行。為了保護 Google、我們的用戶以及互聯(lián)網(wǎng)的其他部分，我們協(xié)助主導(dǎo)了與行業(yè)合作伙伴的協(xié)調(diào)工作，以了解攻擊機制，并合作部署可應(yīng)對這些攻擊的緩解措施。

一般而言，DDoS 攻擊試圖破壞面向互聯(lián)網(wǎng)的網(wǎng)站和服務(wù)，使其無法訪問。攻擊者將大量互聯(lián)網(wǎng)流量導(dǎo)向攻擊目標(biāo)，耗盡其處理傳入請求的能力。

DDoS 攻擊會對受害組織造成廣泛影響，包括業(yè)務(wù)損失和關(guān)鍵任務(wù)應(yīng)用程序無法運行等，往往會耗費受害者的時間和金錢。從 DDoS 攻擊中恢復(fù)所花的時間可能遠遠超過攻擊結(jié)束的時間。

我們的調(diào)查和應(yīng)對之策

我們的調(diào)查發(fā)現(xiàn)，本次攻擊使用了一種新型 "快速重置" 方法，利用了廣泛采用的 HTTP/2 協(xié)議的流多路復(fù)用功能。我們在一篇配套博客中進一步分析了這種新的快速重置方法，并討論了第 7 層攻擊的演變。

我們發(fā)現(xiàn)2023年9月期間攻擊活動仍在繼續(xù)

我們能夠在 Google 網(wǎng)絡(luò)邊緣緩解攻擊，利用在邊緣節(jié)點容量方面的可觀投資，確保 Google 服務(wù)和用戶服務(wù)基本不受影響。隨著對攻擊方法了解得越來越詳細，我們開發(fā)了一套緩解措施，并更新了我們的代理和拒絕服務(wù)攻擊防御系統(tǒng)，以有效遏制這種攻擊方法。因為 Google Cloud 的 應(yīng)用負載均衡器 和 Cloud Armor 所使用的硬件和軟件基礎(chǔ)設(shè)施與 Google 自身面向互聯(lián)網(wǎng)的服務(wù)所采用的硬件和軟件基礎(chǔ)設(shè)施相同，因此使用這些服務(wù)的 Google Cloud 客戶使得其面向互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用和服務(wù)也受到了類似的保護。

行業(yè)協(xié)作與 CVE-2023-44487 應(yīng)對措施

在 8 月份檢測到這些攻擊的最初信號之后不久，Google 即采用了額外的緩解策略，并與其他實施 HTTP/2 協(xié)議棧的云提供商和的軟件維護者協(xié)調(diào)了采取跨行業(yè)響應(yīng)措施。在攻擊發(fā)生時，我們實時共享了有關(guān)攻擊和緩解方法的信息。

得益于這一跨行業(yè)協(xié)作，許多大型基礎(chǔ)設(shè)施提供商都使用了補丁和其他緩解技術(shù)。這樣的合作為今天以負責(zé)的態(tài)度統(tǒng)一披露新的攻擊方法以及眾多常見開源和商用代理服務(wù)器、應(yīng)用服務(wù)器和負載平衡器的潛在易感性打下了基礎(chǔ)。

這次攻擊的集體易感性被跟蹤為 CVE-2023-44487，并被定為高嚴(yán)重性漏洞，CVSS 得分為 7.5 (滿分 10 分)。

Google 衷心感謝所有跨行業(yè)的利益相關(guān)者，感謝他們通力合作、共享信息、加快對基礎(chǔ)設(shè)施的打補丁，并迅速向客戶提供補丁程序。

攻擊易感者和相應(yīng)的解決辦法

向互聯(lián)網(wǎng)提供基于 HTTP 的工作負載的任何企業(yè)或個人都可能面臨被這種攻擊入侵的風(fēng)險。能夠使用 HTTP/2 協(xié)議進行通信的服務(wù)器或代理上的網(wǎng)絡(luò)應(yīng)用程序、服務(wù)和 API 都可能存在漏洞。企業(yè)應(yīng)驗證其運行的任何支持 HTTP/2 的服務(wù)器是否存在漏洞，或應(yīng)用 CVE-2023-44487 的供應(yīng)商修補程序，以此限制這一攻擊向量的影響。如果您正在管理或運行支持 HTTP/2 協(xié)議的自有服務(wù)器 (開源或商用)，則應(yīng)在相關(guān)供應(yīng)商推出補丁時立即安裝。

后續(xù)措施

防御大規(guī)模 DDoS 攻擊 (如本文所述) 是一件非常困難的事情。無論是否有補丁，企業(yè)都需要重金投資基礎(chǔ)設(shè)施，才能在面對任何中等規(guī)?；蚋笠?guī)模的攻擊時保持服務(wù)正常運行。在 Google Cloud 上運行服務(wù)的企業(yè)無需自己承擔(dān)這筆費用，而是可以利用我們在全球范圍內(nèi)對 Cross-Cloud Network 的容量投資來交付和保護他們的應(yīng)用程序。

若 Google Cloud 用戶提供的服務(wù)使用了全球或區(qū)域應(yīng)用負載均衡器，則可以受益于 Cloud Armor 始終在線的 DDoS 保護，迅速緩解那些利用 CVE-2023-44487 等漏洞發(fā)起的攻擊。

盡管通過 Cloud Armor 始終在線的 DDoS 防護，我們能夠在 Google 網(wǎng)絡(luò)邊緣有效化解每秒數(shù)以億計的大部分請求，但每秒數(shù)以百萬計的不受歡迎的請求仍然能夠通過。為了防范這種攻擊和其他第 7 層攻擊，我們還建議部署 Cloud Armor 自定義安全策略，其中包括主動速率限制規(guī)則和基于人工智能的自適應(yīng)保護，從而更加全面地檢測、分析和緩解攻擊流量。

?