Новая техника DDoS (распределенный отказ в обслуживании) под названием «HTTP/2 Rapid Reset» активно используется как «нулевой день» с августа, побив все предыдущие рекорды по масштабам.
Новости о методе нулевого дня появились сегодня в виде скоординированного объявления Amazon Web Services, Cloudflare и Google, которые сообщают о снижении уровня атак, достигающем 155 миллионов запросов в секунду (Amazon), 201 миллиона запросов в секунду (Cloudflare) и рекордных 398 запросов в секунду. миллион запросов в секунду (Google).
Google заявляет, что им удалось смягчить эти новые атаки, увеличив дополнительную пропускную способность на границе своей сети.
Cloudflare отмечает, что размер атаки, которую она смягчила, в три раза превышает ее предыдущий рекорд, зафиксированный в феврале 2023 года (71 миллион запросов в секунду), и вызывает тревогу то, что это было достигнуто с использованием относительно небольшого ботнета, состоящего из 20 000 машин.
С конца августа Cloudflare обнаружила и смягчила более тысячи DDoS-атак «HTTP/2 Rapid Reset», скорость которых превысила 10 миллионов запросов в секунду, причем 184 из них побили предыдущий рекорд в 71 миллион запросов в секунду.
Cloudflare уверена, что по мере того, как новые злоумышленники будут использовать все более обширные ботнеты вместе с этим новым методом атак, атаки HTTP/2 Rapid Reset будут продолжать бить еще большие рекорды.
«Сегодня существуют ботнеты, состоящие из сотен тысяч или миллионов машин», — комментирует Cloudflare .
«Учитывая, что вся сеть обычно обрабатывает только 1–3 миллиарда запросов в секунду, вполне возможно, что использование этого метода может сосредоточить запросы всей сети на небольшом количестве целей».
Подробности быстрого сброса HTTP/2
Новая атака использует уязвимость нулевого дня, отслеживаемую как CVE-2023-44487, которая использует слабость протокола HTTP/2.
Проще говоря, метод атаки злоупотребляет функцией отмены потока HTTP/2 для непрерывной отправки и отмены запросов, перегружая целевой сервер/приложение и вводя состояние DoS.
HTTP/2 имеет защиту в виде параметра, который ограничивает количество одновременно активных потоков для предотвращения DoS-атак; однако это не всегда эффективно.
Разработчики протокола представили более эффективную меру под названием «отмена запроса», которая не разрывает все соединение, но которой можно злоупотреблять.
Злоумышленники злоупотребляют этой функцией с конца августа, отправляя на сервер шквал запросов и сбросов HTTP/2 (кадры RST_Stream), прося его обработать каждый из них и выполнить быстрый сброс, что подавляет его способность реагировать на новые входящие запросы. .
Диаграмма потока запросов (Cloudflare)
«Протокол не требует от клиента и сервера каким-либо образом согласовывать отмену, клиент может сделать это в одностороннем порядке», — объясняет Google в своем сообщении по этому вопросу.
«Клиент также может предположить, что отмена вступит в силу немедленно, когда сервер получит кадр RST_STREAM, прежде чем будут обработаны любые другие данные из этого TCP-соединения».
Обзор логики быстрого сброса HTTP/2 (Google)
Поставщики разрабатывают меры по смягчению последствий
Cloudflare объясняет, что прокси-серверы HTTP/2 или балансировщики нагрузки особенно восприимчивы к длинным строкам запросов на сброс, отправляемым быстро.
Сеть компании была перегружена на участке между прокси-сервером TLS и его вышестоящим аналогом, поэтому ущерб был нанесен до того, как неверные запросы достигли точки блокировки.
С точки зрения реального воздействия, эти атаки привели к увеличению количества сообщений об ошибках 502 среди клиентов Cloudflare.
Cloudflare заявляет, что в конечном итоге смягчила эти атаки, используя систему, предназначенную для борьбы с гиперобъемными атаками, под названием «IP Jail», которую интернет-компания расширила, чтобы охватить всю свою инфраструктуру.
Эта система «изолирует» нарушающие IP-адреса и запрещает им использовать HTTP/2 для любого домена Cloudflare на определенный период времени, в то же время влияя на законных пользователей, использующих заблокированный IP-адрес, с незначительным падением производительности.
Amazon заявляет , что смягчила десятки этих атак, не раскрывая никаких подробностей об их воздействии, подчеркивая, что доступность их клиентских сервисов была сохранена.
Атаки смягчены Amazon в сентябре 2023 г. (AWS)
Все три фирмы пришли к выводу, что лучший подход для клиентов к противодействию атакам HTTP/2 Rapid Reset — использовать все доступные инструменты защиты от HTTP-наводнений и повысить устойчивость к DDoS-атакам с помощью многогранных мер по смягчению последствий.
К сожалению, поскольку эта тактика злоупотребляет протоколом HTTP/2, не существует общего решения, которое полностью блокировало бы злоумышленникам использование этой техники DDoS.
Вместо этого разработчики программного обеспечения, использующие этот протокол в своем программном обеспечении, реализуют контроль скорости для смягчения атак HTTP/2 Rapid Reset.
В отдельном посте Cloudflare объясняет, что им пришлось хранить секрет нулевого дня более месяца, чтобы дать поставщикам средств безопасности и заинтересованным сторонам время отреагировать на угрозу, прежде чем о ней станет известно большему количеству злоумышленников и начнется игра в кошки-мышки. .
«До сегодняшнего дня мы сохраняли конфиденциальность информации, чтобы дать как можно большему количеству поставщиков средств безопасности возможность отреагировать», — пояснил Cloudflare .
«Однако в какой-то момент ответственным становится публичное раскрытие подобных угроз нулевого дня. Сегодня тот самый день».
Новости о методе нулевого дня появились сегодня в виде скоординированного объявления Amazon Web Services, Cloudflare и Google, которые сообщают о снижении уровня атак, достигающем 155 миллионов запросов в секунду (Amazon), 201 миллиона запросов в секунду (Cloudflare) и рекордных 398 запросов в секунду. миллион запросов в секунду (Google).
Google заявляет, что им удалось смягчить эти новые атаки, увеличив дополнительную пропускную способность на границе своей сети.
Cloudflare отмечает, что размер атаки, которую она смягчила, в три раза превышает ее предыдущий рекорд, зафиксированный в феврале 2023 года (71 миллион запросов в секунду), и вызывает тревогу то, что это было достигнуто с использованием относительно небольшого ботнета, состоящего из 20 000 машин.
С конца августа Cloudflare обнаружила и смягчила более тысячи DDoS-атак «HTTP/2 Rapid Reset», скорость которых превысила 10 миллионов запросов в секунду, причем 184 из них побили предыдущий рекорд в 71 миллион запросов в секунду.
Cloudflare уверена, что по мере того, как новые злоумышленники будут использовать все более обширные ботнеты вместе с этим новым методом атак, атаки HTTP/2 Rapid Reset будут продолжать бить еще большие рекорды.
«Сегодня существуют ботнеты, состоящие из сотен тысяч или миллионов машин», — комментирует Cloudflare .
«Учитывая, что вся сеть обычно обрабатывает только 1–3 миллиарда запросов в секунду, вполне возможно, что использование этого метода может сосредоточить запросы всей сети на небольшом количестве целей».
Подробности быстрого сброса HTTP/2
Новая атака использует уязвимость нулевого дня, отслеживаемую как CVE-2023-44487, которая использует слабость протокола HTTP/2.
Проще говоря, метод атаки злоупотребляет функцией отмены потока HTTP/2 для непрерывной отправки и отмены запросов, перегружая целевой сервер/приложение и вводя состояние DoS.
HTTP/2 имеет защиту в виде параметра, который ограничивает количество одновременно активных потоков для предотвращения DoS-атак; однако это не всегда эффективно.
Разработчики протокола представили более эффективную меру под названием «отмена запроса», которая не разрывает все соединение, но которой можно злоупотреблять.
Злоумышленники злоупотребляют этой функцией с конца августа, отправляя на сервер шквал запросов и сбросов HTTP/2 (кадры RST_Stream), прося его обработать каждый из них и выполнить быстрый сброс, что подавляет его способность реагировать на новые входящие запросы. .
Диаграмма потока запросов (Cloudflare)
«Протокол не требует от клиента и сервера каким-либо образом согласовывать отмену, клиент может сделать это в одностороннем порядке», — объясняет Google в своем сообщении по этому вопросу.
«Клиент также может предположить, что отмена вступит в силу немедленно, когда сервер получит кадр RST_STREAM, прежде чем будут обработаны любые другие данные из этого TCP-соединения».
Обзор логики быстрого сброса HTTP/2 (Google)
Поставщики разрабатывают меры по смягчению последствий
Cloudflare объясняет, что прокси-серверы HTTP/2 или балансировщики нагрузки особенно восприимчивы к длинным строкам запросов на сброс, отправляемым быстро.
Сеть компании была перегружена на участке между прокси-сервером TLS и его вышестоящим аналогом, поэтому ущерб был нанесен до того, как неверные запросы достигли точки блокировки.
С точки зрения реального воздействия, эти атаки привели к увеличению количества сообщений об ошибках 502 среди клиентов Cloudflare.
Cloudflare заявляет, что в конечном итоге смягчила эти атаки, используя систему, предназначенную для борьбы с гиперобъемными атаками, под названием «IP Jail», которую интернет-компания расширила, чтобы охватить всю свою инфраструктуру.
Эта система «изолирует» нарушающие IP-адреса и запрещает им использовать HTTP/2 для любого домена Cloudflare на определенный период времени, в то же время влияя на законных пользователей, использующих заблокированный IP-адрес, с незначительным падением производительности.
Amazon заявляет , что смягчила десятки этих атак, не раскрывая никаких подробностей об их воздействии, подчеркивая, что доступность их клиентских сервисов была сохранена.
Атаки смягчены Amazon в сентябре 2023 г. (AWS)
Все три фирмы пришли к выводу, что лучший подход для клиентов к противодействию атакам HTTP/2 Rapid Reset — использовать все доступные инструменты защиты от HTTP-наводнений и повысить устойчивость к DDoS-атакам с помощью многогранных мер по смягчению последствий.
К сожалению, поскольку эта тактика злоупотребляет протоколом HTTP/2, не существует общего решения, которое полностью блокировало бы злоумышленникам использование этой техники DDoS.
Вместо этого разработчики программного обеспечения, использующие этот протокол в своем программном обеспечении, реализуют контроль скорости для смягчения атак HTTP/2 Rapid Reset.
В отдельном посте Cloudflare объясняет, что им пришлось хранить секрет нулевого дня более месяца, чтобы дать поставщикам средств безопасности и заинтересованным сторонам время отреагировать на угрозу, прежде чем о ней станет известно большему количеству злоумышленников и начнется игра в кошки-мышки. .
«До сегодняшнего дня мы сохраняли конфиденциальность информации, чтобы дать как можно большему количеству поставщиков средств безопасности возможность отреагировать», — пояснил Cloudflare .
«Однако в какой-то момент ответственным становится публичное раскрытие подобных угроз нулевого дня. Сегодня тот самый день».