Google揭露史上最大2.54Tbps DDoS攻擊事件內幕

Google上周透露2017年曾遭到國家支持的駭客，發動分散式阻斷服務（DDoS）攻擊，流量高達2.54Tbps，也是有記錄以來最大的一次。

Google安全經理Damian Menscher是在分析近年網路安全攻擊趨勢時，提及該公司過去未曾公開的被攻擊經驗。他指出，2017年9月那波DDoS是為期6個月攻擊的最高峰，攻擊者利用多個網路架構製造167Mbps流量導向18萬臺CLDAP、DNS、SMTP伺服器，引發對Google的回應流量攻擊，數千個Google IP同時遭到轟炸，但最後並未對Google造成影響。

Google分析那場攻擊指出，這是一個受國家支持的駭客攻擊行動，後者利用多個中國ISP（ASNs 4134, 4837, 58453及9394）發動UDP流量放大攻擊。Damian Menscher形容這是2016年Mirai殭屍網路引發破記錄623Gbps那場攻擊的4倍，迄今仍然是記錄到攻擊流量最大的一次。

但是Google並未說明攻擊者為誰，也沒有透露自己哪些服務受到攻擊。

Google首次透露的這波DDoS攻擊超過近年已知「最大」的攻擊流量，分別是2016年9月一家法國網站代管業者遭到的近1Tbps、2018年3月GitHub面臨的1.35Tbps DDoS攻擊，以及AWS揭露今年初的2.3Tbps DDoS攻擊。

其他趨勢方面，Google指出，IoT殭屍網路攻擊呈現穩定成長。2015年Google Cloud客戶的VM出現每秒4.45億次的網路封包（pps）攻擊，他們一度以為是監控系統出錯，不過來到今年，最大攻擊紀錄已經成長到每秒6.9億次pps。

此外， 2014年3月數十萬個瀏覽器遭到網路中間人（man-in-the-middle）攻擊注入惡意JavaScript，藉此向Youtube發出大量HTTPS呼叫，當時高達每秒270萬次，也創下最多次HTTPS呼叫的紀錄，直到最近才被打破，苦主是一家Google Cloud客戶，達到每秒600萬次HTTPS呼叫。Google形容這類攻擊成長緩慢，但也容易因此遭到低估。

Google最後指出，他們有能力為網路業者，如ISP或網路服務供應商及時緩解超大流量攻擊。例如2017年那次也通報網路業者有漏洞的數千臺伺服器以利修補，並追蹤惡意封包來源以便過濾。為提供DDoS防護，Google最近並以beta版推出網頁防火牆及L7過濾服務Cloud Armor Managed Protection。