Фото: Devby.io
По данным Google, для атаки использовалась новая техника Rapid Reset, основанная на мультиплексировании потоков. Прошлогодний рекорд интенсивности составлял 46 миллионов запросов. На этот раз количество запросов достигало 398 миллионов. Например, это больше, чем было прочитано статей «Википедии» за весь сентябрь.
Волна атак продолжается до сих пор. Она направлена на крупнейших поставщиков инфраструктурных ресурсов, включая сервисы Google, сеть Google Cloud и клиентов Google. Сотрудникам удалось сохранить работоспособность сервисов за счет инфраструктуры распределения нагрузки.
Исследователи выяснили, что атака стала возможной из-за уязвимости CVE-2023-44487 в протоколе HTTP/2. С ее помощью злоумышленникам удалось генерировать такое количество запросов за короткое время. Уязвимости присвоили рейтинг 7,5 баллов из 10 возможных.
