Google公布DDoS攻擊事件始末 10秒就要負荷維基百科一整天流量

近期網路攻擊事件不時躍上媒體版面，其中「分散式阻斷服務」(Denial-of-service attack；DDoS)是常見攻擊之一。在美國眾議院院長裴洛西(Nancy Pelosi)訪台前後，總統府和國防部都成攻擊目標。

DDoS透過大量流量導致攻擊目標的網站或服務不堪負荷，讓企業或機構無法正常提供服務，真正想用的人也進不去。而除了台灣的政府單位成了受災戶之外，Google雲端服務也難逃攻擊。

近日Google發布一起DDoS攻擊事件始末。6月1日上午，Google雲端服務遭HTTPS的DDoS攻擊。一開始每秒有1萬筆的請求，8分鐘之後增加到每秒10萬筆，2分鐘後達到最高峰每秒有4,600萬筆。這就好像要在10秒內，需要消化維基百科一整天的流量一樣。

防護軟體Google Cloud Armor偵測到異常，發出警示，同時建議如何阻擋這些惡意流量。相關人員接獲通知後依照建議，試圖阻斷攻擊。幾分鐘後，攻擊流量開始減少。事件在爆發後的第69分鐘排除。

Google認為，攻擊者應是覺得未能達到預期的結果，再攻下去成本太高，因此決定收山。本次的攻擊基於HTTPS，相較於HTTP，攻擊者要付出更多電腦演算能力，成本也較大。

而Google Cloud Armor則主打可以抵禦第3層、第4層的DDoS攻擊，分別是網路層和傳輸層，比較像「基礎設施」；也能夠透過機器學習的方式，偵測到第7層，也就是本次的主角，應用程式層的攻擊。Google擁有不少重要網路服務，如搜尋、Gmail或YouTube等，Cloud Armor的開發也受惠過去的資安經驗。

此外，本次攻擊當中，有22%的IP與「洋蔥路由器」(The Onion Router；Tor)的節點有關。Tor為一開源專案，有多層加密的特性，開發初衷是為了避免網路監控與流量分析，甚至還被俄羅斯和中國政府視為眼中釘。而這次則被有心人士拿來當作輔助DDoS攻擊的工具。Google表示，以整體來看，與Tor有關的流量雖然佔比不大，但Tor的出口節點發出的流量可以很可觀。

The Register引述資安公司Radware的報告，根據受訪企業回覆，2022年上半，所處理的DDoS攻擊事件增加203%。未來企業或機構與攻擊方的攻防，恐怕只會越演越烈。