Aggiornamento dal 24 giugno 2022: Abbiamo nominato la botnet che ha lanciato l'attacco DDoS da 26 milioni di richieste al secondo "Mantis" (Mantide) poiché assomiglia al gambero mantide, piccolo ma estremamente insidioso. Mantis è stato particolarmente attivo nell'ultima settimana, prendendo di mira le proprietà Internet VoIP e Criptovaluta con attacchi HTTP DDoS fino a 9 milioni di richieste al secondo.
La scorsa settimana, Cloudflare ha rilevato e mitigato automaticamente un attacco DDoS da 26 milioni di richieste al secondo, il più grande attacco DDoS HTTPS mai registrato.
L'attacco ha preso di mira il sito Web di un cliente che utilizzava il piano gratuito di Cloudflare. Simile al precedente attacco da 15 milioni di richieste al secondo, anche questo attacco ha avuto origine principalmente dai provider di servizi cloud rispetto ai provider di servizi Internet residenziali, indicando l'uso di macchine virtuali dirottate e server potenti per generare l'attacco, al contrario di dispositivi Internet of Things (IoT) molto più deboli.
Attacchi da record
Nell'ultimo anno, abbiamo assistito a un attacco da record dopo l'altro. Nell'agosto 2021, abbiamo rilevato un attacco DDoS HTTP da 17,2 milioni di richieste al secondo e più recentemente, ad aprile, un attacco DDoS HTTPS da 15 milioni di richieste al secondo. Tutti sono stati rilevati e mitigati automaticamente dal nostro set di regole gestite su DDoS HTTP, alimentato dal nostro sistema di protezione da attacchi DDoS edge autonomo.
L'attacco DDoS da 26 milioni di richieste al secondo ha avuto origine da una piccola ma potente botnet di 5.067 dispositivi. In media, ogni nodo ha generato circa 5.200 richieste al secondo al picco. Per contrastare le dimensioni di questa botnet, abbiamo monitorato un'altra botnet molto più grande ma meno potente di oltre 730.000 dispositivi. Quest'ultima, la più grande botnet, non è stata in grado di generare più di un milione di richieste al secondo, ovvero circa 1,3 richieste al secondo in media per dispositivo. In parole povere, questa botnet era, in media, 4.000 volte più forte grazie al suo utilizzo di macchine virtuali e server.
Inoltre, vale la pena notare che questo attacco era su HTTPS: gli attacchi DDoS HTTPS sono più costosi in termini di risorse computazionali richieste a causa del costo più elevato per stabilire una connessione di crittografia TLS sicura. Pertanto, costa di più all'aggressore lanciare l'attacco e alla vittima mitigarlo. In passato abbiamo assistito ad attacchi molto grandi su HTTP (non crittografato), ma questo attacco si distingue per le risorse richieste sulla sua scala.
In meno di 30 secondi, questa botnet ha generato oltre 212 milioni di richieste HTTPS da oltre 1.500 reti in 121 paesi. I primi paesi sono stati l'Indonesia, gli Stati Uniti, il Brasile e la Russia. Quasi il 3% degli attacchi è arrivato attraverso i nodi Tor.
Le principali reti di origine erano la francese OVH (Autonomous System Number 16276), l'indonesiana Telkomnet (ASN 7713), la statunitense iboss (ASN 137922) e la libica Ajeel (ASN 37284).
Il panorama delle minacce di attacco DDoS
È importante comprendere il panorama degli attacchi quando si pensa alla protezione DDoS. Consultando il nostro recente report sulle tendenze DDoS, possiamo vedere che la maggior parte degli attacchi sono piccoli, ad es. vandalismo informatico. Tuttavia, anche piccoli attacchi possono avere un grave impatto sulle proprietà Internet non protette. D'altra parte, gli attacchi di grandi dimensioni stanno crescendo in dimensioni e frequenza, ma rimangono brevi e rapidi. Gli aggressori concentrano il potere della loro botnet per cercare di provocare il caos con un singolo colpo rapido, cercando di evitare il rilevamento.
Gli attacchi DDoS potrebbero essere avviati da esseri umani, ma sono generati da macchine. Nel tempo necessario agli umani per rispondere all'attacco, questo potrebbe già essere finito. E anche se l'attacco è stato rapido, gli eventi di malfunzionamento della rete e delle applicazioni possono estendersi a lungo dopo che l'attacco è terminato, con un costo in termini di entrate e reputazione. Per questo motivo, si consiglia di proteggere le proprie proprietà Internet con un servizio di protezione automatizzato sempre attivo che non faccia affidamento sugli esseri umani per rilevare e mitigare gli attacchi.
Costruire un Internet migliore
In Cloudflare, tutto ciò che facciamo è guidato dalla nostra missione di aiutare a costruire un Internet migliore. La visione del team DDoS deriva da questa missione: il nostro obiettivo è rendere l'impatto degli attacchi DDoS un ricordo del passato. Il livello di protezione offerto è illimitato e non è collegato alla dimensione dell'attacco, al numero di attacchi o alla loro durata. Questo è particolarmente importante in questi giorni perché, come abbiamo visto di recente, gli attacchi stanno diventando più grandi e più frequenti.
Non utilizzi ancora Cloudflare? Inizia subito con i nostri piani Free e Pro per proteggere il tuo sito Web oppure contattaci per una protezione da attacchi DDoS completa per l'intera rete con Magic Transit.