Antes del verano, un cliente de Google Cloud se encontró en el centro del mayor ataque de denegación de servicio jamás visto. En una publicación reciente, el gigante de la web explicó cómo se contrarrestó este ataque.

76% más solicitudes que el récord anterior

Wikipedia es uno de los diez sitios web más visitados del mundo. Todos los días este sitio recibe decenas de millones de consultas, pero tiene servidores y ancho de banda capaces de soportarlos. Este ejemplo es el que Google mencionó en una publicación de blog del 19 de agosto de 2022 que se remonta a la mayor ciberataque de la historia.

Según la firma, un cliente de Google Cloud sufrió un ataque de denegación de servicio (DDoS), cuya tasa alcanzó nada menos que 46 millones de solicitudes por segundo. Si este mismo ataque ha sido bloqueado, el asombro se refiere al flujo. Google afirma que este es el ataque DDoS de capa 7 más grande, con solicitudes un 76% más altas que el récord anterior. Para tener una idea de la magnitud del fenómeno, este ataque equivale a recibir el equivalente a todas las solicitudes diarias de Wikipedia en apenas diez segundos.

Aún más sorprendente, Google pudo frustrar el ataque DDoS gracias al cliente. Este último tenía protección adaptable habilitada en su política de seguridad Cloud Armor que actúa como un cortafuegos. Esta protección permitió detectar el ataque temprano en su ciclo de vida y analizar su tráfico entrante antes de generar una alerta de protección. Sin embargo, esto sucedió antes de que el ataque se volviera aún más serio, y esto, en muy poco tiempo (sólo unos segundos).

Ataque DDoS de Google
Créditos: Google Cloud

Una función que filtra el tráfico no deseado

La herramienta de protección limitó automáticamente la tasa del ataque. Así, el cliente, cuyo nombre se desconoce, prefirió “estrangular” el ataque en lugar de intentar “negarlo”. Este método permitió limitar el impacto en el tráfico entrante legítimo mientras aísla las solicitudes maliciosas al mismo tiempo. Por lo tanto, el servidor del cliente nunca ha sido inaccesible, mientras que los ataques DDoS generalmente logran abrumar a su objetivo. Según Google, el método se probó por primera vez en modo de vista previa antes de implementarse. El cliente pudo verificar el acceso a su servidor, que aún estaba permitido para solicitudes legítimas, pero bloqueado del tráfico no deseado. Y a pesar del pico de 46 millones de solicitudes por segundo, los servicios ofrecidos por el cliente seguían funcionando.

Finalmente, la cantidad de direcciones IP no era tan importante en vista de la cantidad de solicitudes y esto facilitaba visiblemente el bloqueo. Google estima que estas direcciones IP estaban entre 6.000 de 132 países. Sin embargo, un tercio de las solicitudes provino de solo cuatro países.