- Google hat einen DDoS-Angriff in bislang unerreichter Größenordnung mit 398 Millionen Anfragen pro Sekunde verarbeitet.
- In den zwei Minuten des Angriffs wurden mehr Anfragen erzeugt als Wikipedia in einem Monat an Traffic verzeichnet.
- Dieser Angriff wurde durch Rapid Reset verursacht, eine neue Sicherheitslücke in HTTP/2.
- Dabei werden entsprechend der Funktionsweise von HTTP/2 Stream-Multiplexing und die Funktion zum Abbrechen von Anfragen ausgenutzt.
- Ein einzelner Client kann, solange die verfügbare Netzwerkbandbreite es zulässt, praktisch unbegrenzt viele Anfragen erzeugen.
- Herkömmliche Layer-7-DoS-Angriffe sind normalerweise durch RTT und die Anzahl gleichzeitiger Verbindungen darin begrenzt, wie viele Anfragen ein einzelner Client erzeugen kann.
- Mit dieser Methode lassen sich jedoch extrem schnell Anfragen erzeugen, indem sie direkt nach der Erstellung sofort wieder abgebrochen werden.
- Anders als bei bisherigen DDoS-Angriffen in Rekordgröße ist mit dieser Schwachstelle ein effektiver Angriff schon mit einer kleinen Zahl von Geräten möglich.
- Die Schwachstelle ist unter CVE-2023-44487 dokumentiert und hat mit 7.5 einen hohen CVSS-Score.
- Andere Anbieter wie Cloudflare und AWS meldeten ebenfalls DDoS-Angriffe mit 201 Millionen bzw. 155 Millionen RPS.
- Cloudflare erklärte, der Angriff sei durch ein Botnet aus mehr als 20.000 Geräten erfolgt.
- Frühere DDoS-Angriffe dieser Größenordnung wurden durch Botnets mit Zehntausenden bis Millionen von Geräten verursacht.
- Webserver wie Nginx und Caddy stellen bereits zügig Patches bereit.
1 Kommentare
Fast 400 Millionen Requests pro Sekunde ... wirklich furchteinflößend.
Es handelte sich um eine Schwachstelle in HTTP/2-Implementierungen, und es ist schon beeindruckend, dass Google, Cloudflare, AWS und andere sie abmildern konnten.
Am erstaunlichsten finde ich, dass HAProxy dieses Problem bereits 2018 gelöst hat.
Damals wurde die Schwachstelle zwar nicht als solche identifiziert und behoben, aber bei einer späteren erneuten Betrachtung stellte sich heraus, dass das 2018 aufgeworfene Problem die Idee zur Behebung dieser Schwachstelle enthielt.
Wie auch immer: Wer einen Webserver betreibt, sollte bitte auf eine Version aktualisieren, in der diese Schwachstelle behoben ist.