Google 击退史上最大 DDoS 攻击:峰值达每秒 3.98 亿次请求
过去几年,分布式拒绝服务 (DDoS) 攻击规模呈指数级增长。今年 8 月,Google 阻止了一次更大的攻击,规模是去年的 7.5 倍。这次攻击峰值达到了每秒 3.98 亿次请求 (rps),并使用了基于流多路复用的新型 HTTP/2 "快速重置" 技术。相比之下,去年记录在案的最大规模攻击峰值仅为每秒 4600 万次请求。
这起两分钟的攻击产生的请求数量,超过了维基百科 2023 年 9 月全月的文章浏览总量。攻击目标主要是基础设施提供商,包括 Google 自身服务及客户。尽管规模巨大,但全球负载平衡和 DDoS 缓解基础设施保障了服务正常运行。
攻击原理与影响
此次攻击利用了广泛采用的 HTTP/2 协议的流多路复用功能。这种新型 "快速重置" 方法对多家互联网基础设施公司造成了影响。从受害组织角度看,DDoS 攻击会导致业务损失和关键任务应用程序无法运行,恢复时间往往远超攻击持续时间。
调查与应对
我们在 Google 网络边缘成功缓解了攻击,利用边缘节点容量确保服务不受影响。随着对攻击方法了解的深入,我们开发了一套缓解措施,更新了代理和拒绝服务攻击防御系统。由于 Google Cloud 的应用负载均衡器和 Cloud Armor 使用的硬件软件基础设施与 Google 自身服务相同,因此使用这些服务的客户也获得了类似保护。
行业协作与漏洞披露
检测到攻击信号后,Google 与其他云提供商和软件维护者协调了跨行业响应措施。得益于这一协作,许多大型基础设施提供商都使用了补丁和其他缓解技术。这次攻击的集体易感性被跟踪为 CVE-2023-44487,定为高严重性漏洞,CVSS 得分为 7.5。
防护建议
向互联网提供基于 HTTP 的工作负载的任何企业或个人都可能面临风险。能够使用 HTTP/2 协议进行通信的服务器或代理上的网络应用、服务和 API 都可能存在漏洞。企业应验证其运行的支持 HTTP/2 的服务器是否存在漏洞,或应用 CVE-2023-44487 的供应商修补程序。如果您管理自有服务器,应在相关供应商推出补丁时立即安装。
防御大规模 DDoS 攻击需要重金投资基础设施。在 Google Cloud 上运行服务的企业可利用全球 Cross-Cloud Network 的容量投资。若使用了全球或区域应用负载均衡器,可受益于 Cloud Armor 始终在线的 DDoS 保护。为了防范第 7 层攻击,我们还建议部署 Cloud Armor 自定义安全策略,包括主动速率限制规则和基于人工智能的自适应保护。
