Cuộc tấn công được cho là vào ngày 1/6 nhắm vào một khách hàng của Google Cloud sử dụng dịch vụ bảo vệ chống DDoS Google Cloud Armor. Trong suốt 69 phút, bắt đầu từ 9h45 theo giờ Thái Bình Dương, những kẻ tấn công đã bắn phá bộ cân bằng tải HTTPS của khách hàng bằng các yêu cầu HTTPS, bắt đầu ở tốc độ 10.000 rps và trong vòng vài phút tăng lên 100.000 rps trước khi đạt đỉnh 46 triệu rps.
Google cho biết đây là cuộc tấn công lớn nhất từng diễn ra ở lớp 7, liên quan đến lớp ứng dụng - lớp trên cùng - trong mô hình OSI của Internet.
Cuộc tấn công vào khách hàng của Google gần gấp đôi quy mô của cuộc tấn công DDoS HTTPS vào một khách hàng Cloudflare hồi tháng 6, đạt đỉnh điểm là 26 triệu rps. Cuộc tấn công đó cũng dựa vào một mạng botnet tương đối nhỏ bao gồm 5.067 thiết bị trải rộng trên 127 quốc gia.
Cuộc tấn công vào khách hàng của Google cũng được thực hiện qua HTTPS nhưng sử dụng "HTTP Pipelining", một kỹ thuật để mở rộng rps. Google cho biết cuộc tấn công đến từ 5.256 địa chỉ IP nguồn trên 132 quốc gia.
Google cho biết: "Cuộc tấn công đã tận dụng các yêu cầu được mã hóa (HTTPS) mà lẽ ra sẽ lấy thêm các tài nguyên máy tính để tạo cuộc tấn công. Mặc dù việc chấm dứt mã hóa là cần thiết để kiểm tra lưu lượng và giảm thiểu hiệu quả cuộc tấn công, nhưng việc sử dụng kỹ thuật HTTP Pipelining đã buộc Google hoàn thành tương một số "bắt tay" TLS (một loạt các bước mà cả hai bên - máy khách và máy chủ, xác nhận lẫn nhau và bắt đầu giao tiếp thông qua đường hầm SSL/TLS an toàn)".
Google cho biết sự phân bố theo địa lý và các loại dịch vụ không an toàn được sử dụng để tạo ra cuộc tấn công này phù hợp với họ botnet Mēris. Mēris là một botnet IoT xuất hiện vào năm 2021, bao gồm hầu hết các bộ định tuyến MikroTik bị xâm phạm.
Các nhà nghiên cứu tại Qrator trước đây đã phân tích việc sử dụng HTTP Pipelining của Mēris đã giải thích kỹ thuật này liên quan đến việc gửi các yêu cầu HTTP rác theo lô đến một máy chủ được nhắm mục tiêu, buộc nó phải trả lời các lô yêu cầu đó. Pipelining mở rộng quy mô rps, nhưng như Google đã đề cập, kỹ thuật đó không yêu cầu nó phải hoàn thành quá trình "bắt tay" TLS.
Cloudflare cho rằng cuộc tấn công 26 triệu rps liên quan đến cái gọi là botnet Mantis, được coi là một sự tiến hóa của Mēris. Mantis được vận hành bởi các máy ảo và máy chủ bị tấn công bởi các công ty đám mây chứ không phải các thiết bị IoT băng thông thấp.
Google lưu ý rằng mạng botnet liên quan đến Mēris này đã lạm dụng các proxy không an toàn để làm mờ nguồn gốc thực sự của các cuộc tấn công.
Google cũng lưu ý rằng khoảng 22% hoặc 1.169 IP nguồn tương ứng với các nút thoát Tor, nhưng khối lượng yêu cầu đến từ các nút đó chỉ chiếm 3% lưu lượng tấn công.
"Mặc dù chúng tôi tin rằng việc Tor tham gia vào cuộc tấn công là ngẫu nhiên do bản chất của các dịch vụ dễ bị tấn công, ngay cả ở mức 3% của mức cao nhất (lớn hơn 1,3 triệu rps), phân tích của chúng tôi cho thấy rằng các nút thoát Tor có thể gửi một lượng đáng kể lưu lượng truy cập không mong muốn đến các ứng dụng và dịch vụ web"./.
