Cloudflare ha di recente condiviso che, all’inizio del mese di aprile, i suoi sistemi hanno rilevato e mitigato automaticamente un attacco DDoS da 15,3 milioni di richieste al secondo (rps, request-per-second).
Si è trattato – ha sottolineato l’azienda – di uno dei più grandi attacchi DDoS HTTPS registrati finora.
Cloudflare ha sottolineato che, benché quest’ultimo non sia stato il più grande attacco a livello di applicazione a cui ha assistito, è stato il maggiore visto su HTTPS.
Gli attacchi DDoS HTTPS – ha spiegato Cloudflare – sono più costosi in termini di risorse computazionali richieste, a causa del costo più elevato nello stabilire una connessione sicura crittografata TLS.
Quindi, costa di più al cyber-attacker lanciare l’attacco, così come alla vittima mitigarlo. Ci sono stati attacchi molto grandi in passato su HTTP (non criptato), ma questo attacco si distingue per le risorse che ha richiesto, alla scala in cui è avvenuto.
L’attacco, durato meno di 15 secondi, ha preso di mira un cliente di Cloudflare sul piano Professional (Pro) che operava un launchpad crypto.
I launchpad crypto vengono utilizzati per far emergere progetti di finanza decentralizzata per potenziali investitori.
L’attacco – ha spiegato la società di sicurezza Internet – è stato lanciato da una botnet che Cloudflare ha già osservato in precedenza: aveva già visto attacchi di grandi dimensioni, fino a 10M rps, che corrispondono alla stessa impronta di attacco.
L’azienda ha anche specificato che i clienti di Cloudflare sono protetti da questa botnet e non hanno bisogno di intraprendere alcuna azione.
La cosa che Cloudflare considera degna di interesse è che l’attacco proveniva principalmente dai data center. Un cambiamento da Internet Service Provider (ISP) di rete residenziale a ISP di cloud computing.
Questo attacco è stato lanciato da una botnet di circa 6.000 bot unici. Ha avuto origine da 112 Paesi in tutto il mondo. Quasi il 15% del traffico dell’attacco proveniva dall’Indonesia, seguita da Russia, Brasile, India, Colombia e Stati Uniti.
Per difendere le organizzazioni dagli attacchi DDoS, Cloudflare ha costruito e gestisce sistemi definiti dal software che funzionano autonomamente.
Essi rilevano e mitigano automaticamente gli attacchi DDoS in tutta la rete Cloudflare e, proprio come in questo caso, l’attacco è stato automaticamente rilevato e mitigato senza alcun intervento umano.
Il sistema inizia campionando il traffico in modo asincrono; poi analizza i campioni e applica le mitigazioni quando necessario.
Inizialmente, il traffico viene instradato attraverso Internet tramite BGP Anycast verso i più vicini data center Cloudflare, che si trovano in oltre 270 città in tutto il mondo.
Una volta che il traffico raggiunge il data center dell’azienda, i sistemi DDoS di Cloudflare lo campionano in modo asincrono, consentendo l’analisi del traffico fuori dal percorso senza introdurre penalità di latenza.
L’analisi viene effettuata utilizzando algoritmi di data streaming. I sample di HTTP request vengono confrontati con le fingerprint condizionali, e vengono create più firme in tempo reale basate sul dynamic masking di vari campi request e metadati.
Ogni volta che un’altra richiesta corrisponde a una delle firme, un contatore viene aumentato. Quando la soglia di attivazione viene raggiunta per una data firma, una regola di mitigazione viene compilata e spinta inline. La regola di mitigazione include la firma in tempo reale e l’azione di mitigazione, ad esempio il blocco.
I clienti di Cloudflare possono anche personalizzare le impostazioni dei sistemi di protezione DDoS modificando le HTTP DDoS Managed Rules.
Cloudflare ha descritto in maggiore dettaglio i suoi sistemi di protezione DDoS e il loro funzionamento in un post di approfondimento tecnico sul blog ufficiale.
Gli attacchi – ha sottolineato l’azienda – sono sempre più grandi e più frequenti.
