Atualização de 24 de junho de 2022: nomeamos a botnet que lançou o ataque DDoS de 26M rps de "Mantis", pois é pequena, mas muito poderosa, como o camarão mantis. A Mantis esteve especialmente ativa na semana passada, visando ativos da internet de VoIP e criptomoedas com ataques DDoS por HTTP de até 9 milhões de solicitações por segundo.
Na semana passada, a Cloudflare detectou e mitigou automaticamente um ataque DDoS de 26 milhões de solicitações por segundo, o maior ataque DDoS por HTTPS já registrado.
O ataque teve como alvo o site de um cliente que usa o plano gratuito da Cloudflare. Semelhante ao ataque anterior de 15 milhões de rps, esse ataque também se originou principalmente de provedores de serviços em nuvem em vez de provedores de internet residenciais, indicando o uso de máquinas virtuais sequestradas e servidores poderosos para gerar o ataque, em oposição aos dispositivos de Internet das Coisas (IoT) que são muito mais fracos.
Ataques recordes
No ano passado, testemunhamos um ataque recorde após o outro. Em agosto de 2021, divulgamos um ataque DDoS por HTTP de 17,2 milhões de rps e, mais recentemente, em abril, um ataque DDoS por HTTP de 15 milhões de rps. Todos foram detectados e mitigados automaticamente por nosso HTTP DDoS Managed Ruleset, que é alimentado por nosso sistema autônomo de proteção contra DDoS de borda.
O ataque DDoS de 26 milhões de rps originou-se de uma pequena mas poderosa botnet de 5.067 dispositivos. Em média, cada nó gerou aproximadamente 5.200 rps no pico. Para contrastar com o tamanho dessa botnet, rastreamos outra botnet muito maior, mas menos poderosa, com mais de 730.000 dispositivos. A botnet maior não foi capaz de gerar mais de um milhão de solicitações por segundo, ou seja, cerca de 1,3 solicitações por segundo em média por dispositivo. Simplificando, essa botnet era, em média, 4.000 vezes mais forte devido ao uso de máquinas virtuais e servidores.
Além disso, vale a pena notar que este ataque foi por HTTPS. Os ataques DDoS por HTTP são mais caros em termos de recursos computacionais necessários devido ao custo mais alto de estabelecer uma conexão criptografada TLS segura. Portanto, custa mais para o invasor lançar o ataque e para a vítima mitigá-lo. Vimos ataques muito grandes no passado por HTTP (não criptografado), mas esse ataque se destaca por causa dos recursos necessários em sua escala.
Em menos de 30 segundos, essa botnet gerou mais de 212 milhões de solicitações HTTPS de mais de 1.500 redes em 121 países. Os principais países foram Indonésia, Estados Unidos, Brasil e Rússia. Cerca de 3% do ataque veio através dos nós do Tor.
As principais redes de origem foram a francesa OVH (Número do Sistema Autônomo 16276), a Telkomnet da Indonésia (ASN 7713), a americana iboss (ASN 137922) e a Ajeel da Líbia (ASN 37284).
O cenário de ameaças DDoS
É importante entender o cenário de ataques ao pensar na proteção contra DDoS. Ao examinar nosso relatório de tendências de DDoS mais recente, podemos ver que a maioria dos ataques é pequena, por exemplo vandalismo cibernético. No entanto, mesmo pequenos ataques podem afetar gravemente os ativos da internet desprotegidos. Por outro lado, grandes ataques estão crescendo em tamanho e frequência, mas permanecem curtos e rápidos. Os invasores concentram o poder de sua botnet para tentar causar estragos com um único golpe rápido, tentando evitar a detecção.
Os ataques DDoS podem ser iniciados por humanos, mas são gerados por máquinas. Quando os humanos conseguem responder ao ataque, ele já pode ter acabado. E mesmo que o ataque tenha sido rápido, os eventos de falha de rede e de aplicativo podem se estender por muito tempo após o término do ataque, custando a você receita e reputação. Por esse motivo, é recomendável proteger seus ativos da internet com um serviço de proteção sempre ativo automatizado que não dependa de humanos para detectar e mitigar ataques.
Ajudando a construir uma internet melhor
Na Cloudflare, tudo o que fazemos é guiado por nossa missão de ajudar a construir uma internet melhor. A visão da equipe de DDoS deriva dessa missão: nosso objetivo é tornar o impacto dos ataques DDoS uma coisa do passado. O nível de proteção que oferecemos é ilimitado e não medido, não é limitado pelo tamanho, número ou duração dos ataques. Isso é especialmente importante hoje em dia porque, como vimos recentemente, os ataques estão ficando maiores e mais frequentes.
Ainda não usa a Cloudflare? Comece agora com os planos Free e Pro para proteger sites ou fale conosco para ter uma proteção contra DDoS mais abrangente para toda a rede usando o Magic Transit.