DDOS-attacker är inget nytt, men enligt Google har omfattningen på enskilda attacker vuxit exponentiellt de senaste åren. 2022 stoppades den då största attack som dittills hade observerats, men i augusti i år inträffade en ny attack som var 7,5 gånger större.

I två vågor under loppet av ett par minuter blockerade Googles så kallade edge-servrar nästan 400 miljoner förfrågningar per sekund. Attacken riktades inte bara mot kunder hos Google utan var bredare, skriver The Verge. Cloudflare rapporterar också nytt rekord för en blockerad attack med drygt 200 miljoner förfrågningar per sekund, medan Amazons servrar stoppade 155 miljoner i sekunden. Microsoft har inte avslöjat några siffror.

Attackerna utnyttjade en okänd brist i HTTP/2-protokollet som nu har fått beteckningen CVE-2023-44487. Webbplatser som använder HTTP/2 istället för HTTP/1.1 kan ge besökarna snabbare laddtider genom att tillåta flera parallella förfrågningar över en TCP-anslutning. Genom att upprepade gånger skapa hundratusentals förfrågningar och omedelbart avbryta dem kan servrar överväldigas och slås ut.

De flesta stora webbplatser använder sig idag av företag med stora distribuerade nätverk och avancerade skydd mot DDOS-attacker. Trots det händer det att även företagens egna tjänster drabbas – i juni slogs Outlook ut från och till under ett dygn och tusentals användare kom inte åt sin e-post.