Google ‘Bugüne Kadar Bildirilen’ En Büyük Katman 7 DDoS Saldırısını Püskürttü

Teknoloji şirketi Google, 1 Haziran 2022’de müşterilerinin Google Cloud üzerinde barındırılan internet hizmetlerinden birini hedef alan ve bugüne kadar bildirilen en büyük HTTPS DDoS saldırısını engellediğini açıkladı.

Saldırganlar HTTPS tabanlı istekleri kullandılar ve sonunda bugüne kadar bildirilen en büyük Layer 7 DDoS saldırısını başlattılar. Google’ın teknik lideri Satya Konduru ve ürün müdürü Emil Kiner’e göre, saldırı 46 milyon rps (saniyedeki istek sayısı) ile zirveye ulaştı.

Konduru ve Kiner, saldırının ölçeğinin ne kadar büyük olduğunu “sadece 10 saniyede Wikipedia’ya gelen tüm günlük istekleri almak gibi hissettirdi” sözleriyle açıklıyor. Wikipedia’nın dünyanın en çok ziyaret edilen ilk 10 web sitesi arasında yer aldığını hatırlatalım.

Teknoloji şirketi, saldırının 09:45’te gerçekleştiğini ve bir Cloud Armor müşterisinin 10.000 rps ile HTTP/S Yük Dengeleyicisini hedef aldığını söylüyor. Yaklaşık 8 dakika sonra, saldırı ölçeği 100.000 rps’ye yükseldi; sadece 2 dakika sonra, 46 milyon rpm’de zirve yaptı.

69 dakika süren saldırı 132 farklı ülkeden olmak üzere 5256 IP’den gerçekleştirildi. Kaynak IP’lerin 1169’u Tor çıkış düğümlerine bağlanıyordu, ancak bu düğümlerden gelen istek hacmi, toplam saldırı trafiğinin yalnızca yüzde 3’üne katkıda bulundu.

Mēris bağlantısı

Saldırının güvenli olmayan hizmetlerinin ve coğrafi dağılımının analizi, saldırının bir Mēris botnet aracılığıyla başlatılmış olabileceğini ortaya çıkardı. Mēris botnet, çoğu MikroTik marka olan güvenliği ihlal edilmiş yüzbinlerce internet modemi ve yönlendiricisini içeriyor.

Botnet, MikroTik ürünlerinde bir bilgisayar korsanının cihazları uzaktan kontrol etmesine izin veren bir güvenlik açığı nedeniyle oluşturuldu. Eylül 2021’de Rus arama motoru ve teknoloji firması Yandex’e yönelik büyük çaplı bir DDoS saldırısında aynı botnet’in kullanıldığını hatırlatmakta da fayda var.

Saldırı nasıl engellendi?

Araştırmacılar, Katman 7 DDoS saldırısının, hedeflenen müşterinin uygulamasındaki kötü niyetli isteklerin engellenmesiyle başa çıkıldığını söylüyor. Siber saldırı başlatılmadan önce hedeflenen müşteri, normal trafik kalıplarının temel modelini oluşturmak için Cloud Armor güvenlik politikasındaki Uyarlamalı Korumayı yapılandırmıştı.

Uyarlanabilir Koruma, saldırıyı ilk aşamasında algılayabiliyor ve gelen trafiği analiz ediyor. Saldırı gerçekleştiğinde sistem koruyucu bir kural önererek uyarı oluşturdu. Google’a göre müşteri, Cloud Armor’un önerdiği kuralı hızla devreye soktu ve böylece saldırıyı kontrol altına alabildi. Birkaç dakika sonra saldırının boyutu azalmaya başladı ve 69 dakikanın sonunda sona erdi.