Google Cloud ciblé par la « plus grande » attaque DDoS : 46 millions de requêtes par seconde, certaines via Tor

Google Cloud ciblé par la « plus grande » attaque DDoS : 46 millions de requêtes par seconde, certaines via Tor

Le cloud du spectacle

Avatar de l'auteur

Sébastien Gavois

Publié dansInternet

19/08/2022
20
Google Cloud ciblé par la « plus grande » attaque DDoS : 46 millions de requêtes par seconde, certaines via Tor

Google a réussi à contenir une attaque DDoS dont les chiffres ont de quoi donner le tournis : un pic à 46 millions de requêtes par seconde, dont 3 % provenant du réseau Tor. 5 256 adresses IP de 132 pays étaient impliquées, vraissembablement via un botnet de la famille Mēris.

Les attaques DDoS sont à la fois un fléau contre lequel il faut lutter pour éviter de paralyser tout ou partie d'une infrastructure, mais ils sont aussi un « formidable » outil de communication pour certains géants du cloud. En effet, lorsqu’ils parviennent à les bloquer c’est aussi l’occasion de s’en vanter et mettre en avant de gros chiffres et  d’annoncer de nouveaux records.

L’intensité des attaques DDoS augmente…

En août 2021, CloudFlare revendiquait ainsi avoir bloqué une attaque DDoS avec pas moins de 17,2 millions de requêtes par seconde. Une attaque « presque trois fois plus importante que toutes les précédentes » dont la société avait alors connaissance.

Quelques semaines plus tard, Yandex était à son tour victime d’une cyberattaque avec 21,8 millions de requêtes. Rebelote chez CloudFlare en avril avec 15 millions avant un nouveau record à 26 millions en juin. A chaque fois, des billets de blogs pour expliquer comment l'infrastructure en était venue à bout ou revendiquer « la plus grosse attaque HTTPS DDoS de l’histoire ».

De son côté, Microsoft expliquait récemment que les attaques DDoS s’intensifiaient, à la fois en fréquence et en puissance. La société assurait avoir enregistré une attaque record à 2,4 Tb/s en octobre, puis un nouveau record à 3,47 Tb/s en novembre.

… pour atteindre 46 millions de requêtes par seconde

C’est donc au tour de Google Cloud de sortir du bois, confirmant évidemment les tendances de CloudFlare et Microsoft : « les attaques par déni de service distribué (DDoS) augmentent en fréquence et en volume de manière exponentielle ». L’entreprise revendique désormais la couronne de la plus grosse attaque avec 46 millions de requêtes par seconde, « soit au moins 76 % de plus » que celle de CloudFlare (26 millions). 

Google propose une comparaison : « Pour donner une idée de l’ampleur de l’attaque, c’est comme recevoir toutes les demandes quotidiennes de Wikipédia (l’un des 10 sites Web les plus fréquentés au monde) en seulement 10 secondes ».

La société de Mountain View en profite évidemment pour mettre en avant sa solution Armor Adaptative Protection (on vous épargne le discours marketing), mais aussi donner une chronologie de l’attaque. Elle a commencé le 1er juin, à 18h45 heure française, avec 10 000 requêtes par seconde. Huit minutes plus tard, elle est passée à 100 000 requêtes par seconde.

Plus de 5 000 adresses IP de 132 pays, avec des nœuds Tor

Elle prend ensuite de l’ampleur pour atteindre 46 millions de requêtes par seconde quelques minutes plus tard, avant une accalmie et même un arrêt total un peu plus plus tard à 19h54 heure française. Selon Google, « l'attaquant a vraisemblablement déterminé que son attaque n’avait pas l'impact souhaité, alors qu’il engageait des dépenses importantes pour l’exécuter ».

5 256 adresses IP provenant de 132 pays auraient été impliquées dans cette attaque, toujours selon Google. Géographiquement, quatre pays – Brésil, Inde, Russie et Indonésie – ont contribué à hauteur de 31 %. Autre point intéressant : « Environ 22 % (1 169) des adresses IP correspondaient à des nœuds de sortie Tor, mais le volume provenant de ces nœuds ne représentait que 3 % du volume des requêtes ».

L’utilisation de Tor était « secondaire » précise Google, mais 3 % du trafic pendant le pic cela représente tout de même 1,3 million de requêtes par seconde. Pour l’entreprise, cela indique que « les nœuds de sortie de Tor peuvent envoyer une quantité importante de trafic indésirable vers des applications et services web ».

Quoi qu’il en soit, Google Cloud affirme avoir bloqué cette attaque avant qu’elle n’arrive jusqu’à son client, dont le nom n’est pas précisé. On imagine que si cela avait été le cas l’entreprise ne s’en serait pas vantée aussi ouvertement. Il reste que Google s’attend, comme ses camarades, à ce que « la taille des attaques continue de croître et les tactiques d’évoluer ».

Alors que revoilà Mēris

Étant donné la topologie de cette attaque, la société pense que les pirates ont utilisé un botnet de la famille Mēris, sans plus de précision.

Ce dernier était déjà derrière l’attaque de Yandex en septembre dernier. Qrator Labs avait alors consacré un billet de blog à ce botnet. On y apprenait notamment que trois principaux pays d’où venaient les adresses IP étaient le Brésil, l’Indonésie et l’Inde, trois pays qu'on retrouve dans le Top 4 de l’attaque visant Google.

En juin dernier, CloudFlare précisait que son attaque à 26 millions de requêtes par seconde était orchestrée  par Mantis, une nouvelle évolution de Mēris. Il y a donc fort à parier que l’on entende de nouveau parler de cette famille de botnets dans les semaines et mois à venir.

20
Avatar de l'auteur

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Tout plus mieux qu'avant

09:30Hardware 0
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

CyberCom'

09:06Sécurité 5
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Des mini datacenters… Ouais une baie quoi ?

19:03HardwareInternet 2

Sommaire de l'article

Introduction

L’intensité des attaques DDoS augmente…

… pour atteindre 46 millions de requêtes par seconde

Plus de 5 000 adresses IP de 132 pays, avec des nœuds Tor

Alors que revoilà Mēris

Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hardware 0
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécurité 5

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

0
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardwareInternet 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IA et algorithmesSociété numérique 44

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA et algorithmes 18
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitInternet 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société numérique 4
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitInternet 2

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

0

Le poing Dev – round 6

Next 142

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 7
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA et algorithmes 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Sciences et espace 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hardware 6

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

0
Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Internet 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 63
Pilule rouge et bleue avec des messages codés

Encapsulation de clés et chiffrement d’enveloppes

Sécurité 31
Empreinte digital sur une capteur

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

Sécurité 20

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

0

Hébergeurs, éditeurs, espaces de conversation ? La difficile régulation des réseaux sociaux

Réseaux sociauxSociété numérique 23
Puces en silicium

Silicium : un matériau indispensable et omniprésent, mais critique

HardwareSciences et espace 25
Panneau solaire bi-face Sunology Play

Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Hardware 27
The eyes and ears of the army, Fort Dix, N.J.

Un think tank propose d’autoriser les opérations de « hack back »

Sécurité 13

#LeBrief : Ariane 6 sur le banc de test, arrestation algorithmique, entraînement d’IA par des mineurs

0
Logo de Google sur un ordinateur portable

Chrome : Google corrige plusieurs failles sévères, dont une déjà exploitée

Logiciel 0

vieux téléphones portables

Des cadres supérieurs invités à n’utiliser que des téléphones jetables à Hong Kong

Sécurité 12

La Dreamcast de Sega fête ses 25 ans

Hardware 12

Pilule rouge et bleue avec des messages codés

Démantèlement d’un groupe ukrainien de rançongiciels

Sécurité 2

Commentaires (20)


Tirnon Abonné
Il y a 1 an

Est-ce-que google a diffuser la liste des adresse IP attaquante ? Ou un site pour savoir si son adresse IP a été impliqué ?


mrlafrite Abonné
Il y a 1 an

Pas bête !


Jarodd Abonné
Il y a 1 an

Un rapport avec Guillaume Mēris ?


Cqoicebordel Abonné
Il y a 1 an

Je trouve fascinant que tout ce trafic ait été obtenu par seulement 5256 hôtes (adresses IP).

Ca fait un peu peur quand on pense au taux d’infection des machines il y a encore quelques années. Avec quelques millions de machines, tout Internet tombe.


étienne
Il y a 1 an

Ouais c clair. Si jamais des failles sont trouvées et exploitées sur des boxes opérateurs, a raison de millions de boxes, ça va faire de sacrées attaques lol.
Ça me paraît peu en nb de hosts..


alkashee Abonné
Il y a 1 an

Pas forcément, on parle ici d’IP, pas de machines. Tu peux avoir une IP et 5 machines derrières NATées… Ça change la donne.


Baldurien Abonné
Il y a 1 an

Google Cloud attaqué … on est sûr que ce ne sont pas des DDOS depuis Azure et AWS ? :p


OB Abonné
Il y a 1 an

(quote:2089509:étienne)
Ouais c clair. Si jamais des failles sont trouvées et exploitées sur des boxes opérateurs, a raison de millions de boxes, ça va faire de sacrées attaques lol. Ça me paraît peu en nb de hosts..




Ca arrive déjà :
https://www.zdnet.com/article/botnets-competing-to-attack-vulnerable-gpon-fiber-routers/



En plus “grâce” au GPON des opérateurs, il n’y a plus que les box qui sont attaquable : les convertisseurs GPON aussi, qui sont de mini-linux en eux-même.
Sauf que contrairement aux box, comme ils sont considérés comme des éléments “unitaire” du réseau les FAI n’ont pas tellement de contrôle dessus, ils achètent l’appareil “tout fait” , hardware + firmware , dans une logique de moindre coûts.
Pas besoin de réfléchir longtemps aux conséquences en terme de sécurité informatique.


ForceRouge Abonné
Il y a 1 an

OB a dit:


Ca arrive déjà : https://www.zdnet.com/article/botnets-competing-to-attack-vulnerable-gpon-fiber-routers/



En plus “grâce” au GPON des opérateurs, il n’y a plus que les box qui sont attaquable : les convertisseurs GPON aussi, qui sont de mini-linux en eux-même. Sauf que contrairement aux box, comme ils sont considérés comme des éléments “unitaire” du réseau les FAI n’ont pas tellement de contrôle dessus, ils achètent l’appareil “tout fait” , hardware + firmware , dans une logique de moindre coûts. Pas besoin de réfléchir longtemps aux conséquences en terme de sécurité informatique.




L’article parle de routeur, pas d’ONT. Au moins en France, les ONT ne sont pas addressable depuis le réseau publique. Certaine ONT perdent même leur IP volontairement dès lors que le lien gpon est up.


JohnHostfil Abonné
Il y a 1 an

Quelle est le but recherché pour un attaquant de faire ce genre d’attaque DDOS sur Google Cloud ? Beaucoup de temps et d’argent dépensé mais pour quel gain ? Si quelqu’un peut m’éclairer ?


RTEM Abonné
Il y a 1 an

ça ne visait probablement pas Google Cloud en tant que tel, mais un site web hébergé par Google Cloud


OB Abonné
Il y a 1 an

ForceRouge a dit:


L’article parle de routeur, pas d’ONT. Au moins en France, les ONT ne sont pas addressable depuis le réseau publique. Certaine ONT perdent même leur IP volontairement dès lors que le lien gpon est up.




Sauf que si ils sont infectés rien ne les empêches de garder leur IP et de récupérer des trames (ex : DHCP-Offer) pour émettre à leur tour du trafic DDOS, bien chiant a détecter (car ne provenant pas de la box, justement…)



J’ai vu des POF de ça :-/



(La seule chose qui sauve c’est que le CPU est anémique, donc en PPS ça monte pas trop haut)



Mais effectivement pas en France je l’admets.


Paul Muad'Dib Abonné
Il y a 1 an

Puisqu’on joue à qui a la plus grosse, on compare comment les attaques à base de “millions de requêtes par seconde” vs celles à base de “Tb/s” ? :D


ForceRouge Abonné
Il y a 1 an

OB a dit:


Sauf que si ils sont infectés rien ne les empêches de garder leur IP et de récupérer des trames (ex : DHCP-Offer) pour émettre à leur tour du trafic DDOS, bien chiant a détecter (car ne provenant pas de la box, justement…)



J’ai vu des POF de ça :-/



(La seule chose qui sauve c’est que le CPU est anémique, donc en PPS ça monte pas trop haut)



Mais effectivement pas en France je l’admets.




Je vois pas comment c’est possible d’infecter un équipement qui n’a pas d’IP… Tout au mieux, lui faire transiter des paquets formatés de tel sorte que le routeur plante, mais de là à lui injecter du code, c’est quand même un peu de la science fiction la…


fdorin Abonné
Il y a 1 an

Il est bien possible de réveiller une machine éteinte par le réseau (wake on lan), donc sans IP.



Infecter un équipement sans IP est donc potentiellement possible, bien que loin d’être trivial…


OB Abonné
Il y a 1 an

ForceRouge a dit:


Je vois pas comment c’est possible d’infecter un équipement qui n’a pas d’IP… Tout au mieux, lui faire transiter des paquets formatés de tel sorte que le routeur plante, mais de là à lui injecter du code, c’est quand même un peu de la science fiction la…




OK, si tu le dit.


ForceRouge Abonné
Il y a 1 an

fdorin a dit:


Il est bien possible de réveiller une machine éteinte par le réseau (wake on lan), donc sans IP.



Infecter un équipement sans IP est donc potentiellement possible, bien que loin d’être trivial…




Pour réveiller une machine sans IP:




  • tu dois te trouver dans même réseau niveau 2, donc aucun routeur entre, ce qui n’est pas le cas d’un attaquant distant

  • le WoL, c’est une feature, pas du hack. Le PC qui doit être allumé écoute activement la trame qui va le réveiller, contrairement à l’ONT qui n’attend rien du tout au niveau 2, et donc ne réagira pas.


fdorin Abonné
Il y a 1 an

Je sais bien tout cela. L’idée s’était de souligner que le dialogue pouvait se faire sans passer par IP. Mais on est d’accord que l’IP reste le moyen le plus répandu (car traverse les différents équipements réseau).



Après, une grosse partie des hacks utilisent des failles dans des fonctionnalités disponibles, et il existe de nombreuses fonctionnalités qui n’utilisent pas IP (le wake on lan déjà cité, ARP, etc…)


Timanu69
Il y a 1 an

ils vont augmenter les tarifs à cause que c’est la guerre en Ukraine.


ForceRouge Abonné
Il y a 1 an

fdorin a dit:


Après, une grosse partie des hacks utilisent des failles dans des fonctionnalités disponibles, et il existe de nombreuses fonctionnalités qui n’utilisent pas IP (le wake on lan déjà cité, ARP, etc…)




Je suis bien d’accord, du arp poisining par exemple que je faisais en cité U sur un réseau avec une pauvre ADSL partagé, pour kicker les trous de balle qui faisait du torrent 247



Mais pour revenir au sujet d’origine, on parle de botnet, donc il ne s’agit pas pour un attaquant d’entrer par effraction et aller brancher son hack en RJ45 sur 5000 ONT de Mme Michu tout autour du monde…