В августе Google отразил крупнейшую DDoS-атаку в своей истории. Специалисты по безопасности фиксировали интенсивность в 398 млн запросов в секунду, что в 7,5 раз больше прошлой масштабной атаки.
В последней атаке использовалась новая техника, HTTP/2 Rapid Reset, основанная на потоковом мультиплексировании. Она продолжалась всего две минуты, но за это время было сгенерировано больше запросов, чем было обращений к «Википедии» за весь сентябрь 2023 года.
В ходе отражения DDoS-атаки инженеры Google выявили уязвимость CVE-2023-44487 в протоколе HTTP/2. Ей был присвоен рейтинг 7,5 балла из 10. Компания рекомендует всем администраторам веб-сервисов с поддержкой HTTP/2 установить патч CVE-2023-44487 от соответствующего поставщика, так как волна подобных атак, начавшаяся в конце августа, продолжается по сей день.
Напомним, в июне 2022 года неназванный клиент Google Cloud Armor подвергся DDoS-атаке по протоколу HTTPS, которая достигла мощности 46 млн запросов в секунду. До текущей атаки считалось, что эта была самой масштабной DDoS-атакой в истории Google.
