1 Punkte von GN⁺ 2023-10-11 | 1 Kommentare | Auf WhatsApp teilen
  • Während das Ausmaß von DDoS-Angriffen schnell zunimmt, hat Google im August 2023 einen Angriff mit einem Spitzenwert von 398 Millionen rps abgewehrt, der 7,5-mal größer war als der Rekord des Vorjahres von 46 Millionen rps
  • Die Angreifer nutzten die Rapid Reset-Technik, die Stream-Multiplexing in HTTP/2 ausnutzt, und mehrere Unternehmen der Internet-Infrastruktur waren betroffen
  • Die Angriffswelle begann Ende August 2023 und setzte sich bis in den September fort; zu den Zielen gehörten wichtige Infrastrukturanbieter, darunter Google-Dienste, die Google-Cloud-Infrastruktur und Kunden
  • Google absorbierte den Angriff am Netzwerk-Edge und aktualisierte seine Abwehrsysteme; auch Kunden von Application Load Balancer und Cloud Armor profitieren vom Schutz auf derselben Grundlage
  • Server, Proxys, Anwendungsserver und Load Balancer mit HTTP/2-Unterstützung können von CVE-2023-44487 betroffen sein; daher sind eine Prüfung auf Verwundbarkeit und das Einspielen von Hersteller-Patches erforderlich

Ausmaß des Angriffs und die Rapid-Reset-Technik

  • Googles DDoS Response Team hat in den vergangenen Jahren einen exponentiellen Anstieg beim Ausmaß von DDoS-Angriffen festgestellt
  • Der im August 2023 abgewehrte Angriff war 7,5-mal größer als der bisherige Höchstwert des Vorjahres
    • Er erreichte einen Spitzenwert von 398 Millionen requests per second (rps)
    • Der bis dahin größte DDoS-Angriff, der 2022 verzeichnet wurde, lag bei 46 Millionen rps
  • Der zwei Minuten andauernde Angriff erzeugte mehr Anfragen als Wikipedia im gesamten September 2023 an Seitenaufrufen meldete
  • Die zentrale Technik war das neue HTTP/2 Rapid Reset, das die Stream-Multiplexing-Funktion von HTTP/2 ausnutzt

Ziele des Angriffs und Auswirkungen auf Dienste

  • Die jüngste Angriffswelle begann Ende August 2023 und wurde den gesamten September über weiter beobachtet
  • Zu den Angriffszielen gehörten wichtige Infrastrukturanbieter
    • Google-Dienste
    • Google-Cloud-Infrastruktur
    • Google-Kunden
  • Google hielt seine Dienste mithilfe globaler Load-Balancing- und DDoS-Mitigation-Infrastruktur weiter in Betrieb
  • In Zusammenarbeit mit Branchenpartnern wurde der Angriffsmechanismus analysiert und Gegenmaßnahmen zum Schutz von Google, seinen Kunden und dem Internet insgesamt abgestimmt

Googles Mitigation und Schutz für Cloud-Kunden

  • Die Untersuchung ergab, dass der Angriff die Rapid-Reset-Technik nutzte, die die Stream-Multiplexing-Funktion des weit verbreiteten HTTP/2-Protokolls ausnutzt
  • Google mitigierte den Angriff am Netzwerk-Edge
    • Dank Investitionen in Edge-Kapazitäten blieben Google-Dienste und Kundendienste weitgehend unbeeinträchtigt
    • Nach weiterer Analyse der Angriffsmethode wurden Gegenmaßnahmen entwickelt
    • Durch Updates an Proxys und Systemen zur Abwehr von Denial-of-Service-Angriffen konnte diese Technik wirksam eingedämmt werden
  • Der Application Load Balancer und Cloud Armor von Google Cloud verwenden dieselbe Hardware- und Software-Infrastruktur, die Google auch für eigene internetseitige Dienste einsetzt
  • Internetseitige Web-Apps und Dienste von Cloud-Kunden, die diese Produkte nutzen, erhalten daher einen vergleichbaren Schutz

CVE-2023-44487 und die gemeinsame Reaktion der Branche

  • Unmittelbar nachdem Google die ersten Angriffe im August erkannt hatte, wurden zusätzliche Mitigationsstrategien angewendet und eine branchenweite gemeinsame Reaktion mit Cloud-Anbietern und Software-Maintainern koordiniert, die den HTTP/2-Protokoll-Stack implementieren
  • Während der laufenden Angriffe wurden Angriffsdetails und Mitigationsmethoden in Echtzeit geteilt
  • Diese Zusammenarbeit führte zu Patches und Mitigationstechniken, die von mehreren großen Infrastrukturanbietern eingesetzt werden
  • Die neue Angriffsmethode sowie potenzielle Schwachstellen in verschiedenen verbreiteten Open-Source- und kommerziellen Proxys, Anwendungsservern und Load Balancern wurden im Rahmen einer koordinierten Offenlegung veröffentlicht
  • Die kollektive Schwachstelle für diesen Angriff wird unter CVE-2023-44487 geführt
    • Schweregrad: High
    • CVSS-Score: 7.5/10

Betroffene Systeme und erforderliche Maßnahmen

  • Unternehmen und Einzelpersonen, die HTTP-basierte Workloads im Internet bereitstellen, können dem Risiko dieses Angriffs ausgesetzt sein
  • Webanwendungen, Dienste und APIs auf Servern oder Proxys, die über HTTP/2 kommunizieren können, können verwundbar sein
  • Organisationen sollten prüfen, ob ihre Server mit HTTP/2-Unterstützung nicht verwundbar sind
  • Wer eigene Server mit HTTP/2-Unterstützung betreibt oder verwaltet, sollte einschlägige Hersteller-Patches unabhängig davon, ob es sich um Open Source oder kommerzielle Software handelt, sofort nach Verfügbarkeit einspielen
  • Hersteller-Patches für CVE-2023-44487 sind Maßnahmen, um die Auswirkungen dieses Angriffsvektors zu begrenzen

Empfehlungen zur Abwehr in Google-Cloud-Umgebungen

  • Die Abwehr groß angelegter DDoS-Angriffe ist schwierig, und um Dienste auch bei Angriffen mittlerer Größe oder größer unabhängig vom Patch-Status weiter betreiben zu können, sind erhebliche Infrastrukturinvestitionen erforderlich
  • Organisationen, die Dienste auf Google Cloud betreiben, können ihre Anwendungen mit den global skalierten Kapazitätsinvestitionen von Cross-Cloud Network bereitstellen und schützen
  • Google-Cloud-Kunden, die ihre Dienste über globale oder regionale Application Load Balancer veröffentlichen, sind durch Cloud Armor always-on DDoS protection geschützt
    • Angriffe, die Schwachstellen wie CVE-2023-44487 ausnutzen, werden schnell mitigiert
  • Auch wenn Cloud Armor always-on DDoS protection am Netzwerk-Edge von Google die meisten Anfragen in Höhe von Hunderten Millionen pro Sekunde absorbieren kann, können weiterhin mehrere Millionen unerwünschte Anfragen pro Sekunde durchkommen
  • Für die Abwehr von Layer-7-Angriffen werden Cloud Armor custom security policies, proaktive Regeln für rate limiting und der Einsatz der KI-basierten Adaptive Protection empfohlen
  • Technische Informationen zur aktuellen DDoS-Angriffswelle finden sich in der Analyse des HTTP/2 Rapid Reset DDoS-Angriffs

1 Kommentare

 
GN⁺ 2023-10-11
Meinungen auf Hacker News
  • Dazu laufende Threads:
    The novel HTTP/2 'Rapid Reset' DDoS attack - https://news.ycombinator.com/item?id=37830987
    HTTP/2 Zero-Day Vulnerability Results in Record-Breaking DDoS Attacks - https://news.ycombinator.com/item?id=37830998
  • Ich frage mich, wer einen Anreiz hat, solche DDoS-Angriffe auszuführen. Mir leuchtet nicht recht ein, warum man viel Geld und die Entwicklung ausgefeilter Angriffe gegen Unternehmens-Cloud-Infrastruktur riskieren sollte; die plausibelste Antwort scheint noch eine ausländische Regierung zu sein.
    Trotzdem verstehe ich nicht ganz, warum das immer wieder passiert, wenn das Ergebnis nur darin besteht, US-Tech-Unternehmen und ihre Kunden für ein paar Stunden zu stören.
    • Ich mache seit etwa 20 Jahren DDoS-Abwehr, und die Antwort ist: manchmal staatliche Akteure, oft aber auch Betrüger aus Osteuropa. Sie führen große Angriffe durch, um sich in Bot-Communitys einen Ruf zu verschaffen.
      Mit diesem Ruf lassen sie sich von weniger sauberen Auftraggebern bezahlen, die Konkurrenten angreifen wollen; manchmal ist dieser Auftraggeber eine Regierung, manchmal ein zwielichtiges Unternehmen. Im letzten Jahr gab es viele Fälle, in denen Krypto-Unternehmen gegenseitig ihre Websites angegriffen haben.
      Die Leute, die so etwas tun, sind technisch sehr stark, haben aber aufgrund ihres Wohnorts oder ihres Umfelds oft nur wenige Möglichkeiten, mit diesen Fähigkeiten Geld zu verdienen.
    • Es geht um PR. Man greift Google oder Cloudflare an, wartet darauf, dass sie einen Blogbeitrag über den „größten Angriff aller Zeiten“ veröffentlichen, und sagt dann potenziellen Kunden, das eigene Botnet könne größere Angriffe fahren als alle anderen – mit diesem Beitrag als Beleg.
    • Bei unerfahrenen Angreifern geht es darum, in Hacker-Communitys Angeberei und Reputation zu erlangen; das ist nicht viel anders, als Graffiti an einer Autobahnbrücke zu hinterlassen.
      Fortgeschrittene Angreifer testen dagegen Fähigkeiten und Reaktionen. Die Taliban haben früher Kinder dafür bezahlt, außerhalb von Stützpunkten Feuerwerkskörper zu zünden, um Verteidigungstaktiken, -techniken und -verfahren zu beobachten; außerdem hatte es den Effekt, dass man gegenüber Schüssen abstumpfte.
      Ein wirklich guter Gegner kann Letzteres tun und es wie Ersteres aussehen lassen.
    • Die Information ist zwar schon älter, aber man konnte Botnet-Besitzern ein paar hundert Dollar zahlen, um die Server einer Person zu stören, die man nicht mochte. Ein Beispiel wäre, ein Match eines konkurrierenden Gaming-Clans zu ruinieren. Es gibt erstaunlich viel von diesem Kleinkram auf der Welt.
      Beim Mirai-Botnet betrieben einige der Entwickler auch ein Unternehmen für DDoS-Mitigation. Sie verkauften also auf der einen Seite die Waffe und auf der anderen Seite die Verteidigung dagegen.
      Manchmal sind auch Reputation, Streiche oder die Herausforderung, ein Botnet zu bauen, die Motivation.
    • Bei einem neueren, ähnlich großen Angriff kamen die Autoren der Botnet-Software von einer US-Sicherheitsfirma, die DDoS-Mitigation-Lösungen verkaufte (https://en.wikipedia.org/wiki/Mirai_(malware))
  • In einer früheren Firma wurden wir ziemlich häufig von deutlich kleineren Angriffen getroffen. Intern gingen wir davon aus, dass ein Wettbewerber uns behindern wollte, aber letztlich blieb es ein Rätsel.
    Ob es nun um Internetinfrastruktur im großen Stil geht oder um Angriffe auf ein bestimmtes Unternehmen: Ich frage mich, ob jemand, der an solchen Angriffen beteiligt war, mutig oder verrückt genug wäre, einen Wegwerf-Account zu erstellen und seine Motivation zu erklären.
    • Ich hatte etwas Ähnliches; zuerst dachte ich, Script Kiddies machten das aus Spaß. Es stellte sich heraus, dass jemand einen sehr schlechten Microservice geschrieben hatte und ineffiziente Abfragen gelegentlich alle Benachrichtigungen ausgelöst haben.
    • Ein regionaler Hosting-Anbieter griff lokale Unternehmen mit IT-Infrastruktur per DDoS an und bewarb anschließend seine eigene Hosting-Lösung inklusive DDoS-Schutz.
    • Schwedische Universitäten wurden nach der großen Kontroverse um Koranverbrennungen von „Turkey“ angegriffen. Sie prahlten auch über einen Twitter-Account damit, aber es sah ziemlich eindeutig nach Russland aus.
    • Ich habe gehört, dass es auch Angriffe gibt, bei denen ein Subsystem das eigentliche Ziel ist. Um keine Aufmerksamkeit zu erregen, greift man dabei das gesamte Netzwerk an.
    • Einer unserer Kunden wurde von Konkurrenten DDoS-angegriffen, wobei diese vermutlich gar nicht wussten, dass sie DDoS verursachten. Sie scrapten die Produktlisten extrem aggressiv, ganz ohne Verzögerungen oder Rate Limits, und erzeugten dadurch effektiv einen DDoS.
      Sie wollten die Zielseite nicht unbedingt verlangsamen, aber sie versuchten, Daten mit einer Geschwindigkeit abzugreifen, bei der die Serverkosten für echte zahlende Kunden nicht mehr tragbar waren.
      Solche Angriffe unterscheiden sich von echten DDoS-Angriffen, sind meiner Erfahrung nach aber viel häufiger und lassen sich mit Diensten wie Cloudflare oder Akamai relativ leicht abmildern; das empfehle ich Kunden dann auch.
  • Auch Cloudflare war von demselben Angriff betroffen: https://blog.cloudflare.com/zero-day-rapid-reset-http2-recor...
  • Interessant ist die Stelle, dass „Google und AWS diesen Angriff zur gleichen Zeit beobachteten“. Falls hier jemand bei einem der großen Anbieter auf dieser Ebene arbeitet: Mich würde interessieren, was bei einem Angriff dieser Größenordnung tatsächlich passiert.
    Sind Leute von Cloudflare, Google und AWS in einer Echtzeit-Videokonferenz, koordinieren sich und mitigieren gemeinsam, oder beobachten alle aus der Ferne, was anderswo passiert, und konzentrieren sich darauf, ihr eigenes Problem zu lösen?
    • Normalerweise löscht jeder sein eigenes Feuer, aber wenn jemand etwas Interessantes oder Neues sieht, fragt man nach dem Löschen des Feuers bei anderen nach, ob sie ähnliche Angriffe gesehen haben. Es könnte ja ein neues Botnet, eine neue Angriffsmethode usw. sein.
      In diesem Fall haben alle erkannt, dass sie dasselbe sehen, und da die Auswirkungen auf kleinere Ziele sehr groß sein können, haben sie das Problem gemeinsam verstanden und die Sicherheitsreaktion mit allen Webserver-Anbietern koordiniert.
  • Ich frage mich, wie DDoS-Mitigation funktioniert. Was bedeutet es genau, wenn man sagt: „Man stellt eine Website hinter Cloudflare, um DDoS abzumildern“?
    Geht es nur darum, genügend eingehende Bandbreite bereitzustellen, damit man ein paar Gb/s aushält und noch Reservekapazität für legitimen Traffic bleibt?
    • Das gehört dazu, aber es gibt noch viel mehr Faktoren. Normalerweise muss man Bandbreite und Rechenressourcen dynamisch hochskalieren können, um die eingehende Flut zu bewältigen.

Viel DDoS-Traffic ist kein echtes HTTP, sondern Müll-Traffic, der die Leitung in Richtung einer IP-Adresse füllt. Größere Leitungen und mehrere geografisch verteilte Server helfen dabei. Es gibt auch Fälle wie TCP-SYN-Floods, bei denen nur TCP-Verbindungen geöffnet werden, um verfügbare Ports zu erschöpfen. Solche anomalen Requests lassen sich oft mit mehreren einfachen Reverse Proxys vor dem Server abfangen
Ausgefeiltere Anfragen, die nach außen wie normaler HTTP-Traffic aussehen, müssen letztlich verarbeitet werden. Etwa indem man aus dem Cache antwortet, ein CAPTCHA einfügt, um Angreifer auszubremsen und legitimen Traffic zu erkennen, oder Rate Limiting anwendet. Man möchte erkennen, ob ein Request legitim ist, bevor man ihn an den eigentlichen Server weiterleitet, und dafür lassen sich verschiedene Tools einsetzen

  • Cloudflare und andere Unternehmen können erkennen, ob ein Request DDoS-Traffic ist, und ihn verwerfen, drosseln oder verifizieren, statt ihn an den Server weiterzuleiten
    Der Server kann so konfiguriert werden, dass er alles verwirft, was nicht von Cloudflare kommt; das ist effizient
  • Als ich bei Google SRE war, scherzten Leute, man schicke „DDoS-Traffic einfach nach Australien
    Im Allgemeinen ist Googles interner Traffic zwischen Rechenzentren viel größer als die Menge, die jemand per DDoS schicken könnte, sodass sich immer ein Weg findet, ihn zu bewältigen
  • Wenn ein DDoS-Angriff volumenbasiert ist, besteht die einzige Abwehr darin, ein Netz mit genug Kapazität für den Traffic zu haben und mit ISPs zusammenzuarbeiten, um upstream mit dem Blockieren zu beginnen
    Aber nicht jeder DDoS ist volumenbasiert. Manche missbrauchen grundlegende Protokollfunktionen, wie etwa Slowloris-Angriffe
    https://www.cloudflare.com/learning/ddos/ddos-attack-tools/s...
  • Mitigation bedeutet üblicherweise, DDoS-Requests automatisch zu erkennen und sie mit geringeren Kosten zu behandeln, ohne legitime Nutzer zu beeinträchtigen
    In diesem Fall könnte das bedeuten, zu erkennen, ob ein Client Streams schnell zurücksetzt, und diesen Traffic auf eine langsamere Spur zu schicken oder ganz herauszufiltern
  • In diesem Beitrag sind zusätzliche Informationen zur Funktion HTTP/2 Rapid Reset verlinkt, die als Teil des DDoS verwendet wurde: https://cloud.google.com/blog/products/identity-security/how...
  • Gibt es keine Angaben zur Herkunft dieses Angriffs? Das scheint eine enorme Menge an Hardware zu erfordern, und wenn es kein Botnetz ist, müsste es doch leicht zurückzuverfolgen sein
    • Die besonders schlechte Nachricht ist, dass dieser Angriff kein wirklich riesiges Botnetz benötigt
      https://blog.cloudflare.com/zero-day-rapid-reset-http2-recor...
      „Ein entscheidender Punkt bei dem rekordverdächtigen Angriff ist, dass ein mittelgroßes Botnetz aus rund 20.000 Maschinen beteiligt war“
    • Angesichts der Größenordnung könnte die Offenlegung der Herkunft politisch und rechtlich heikel sein
    • Die naheliegende Vermutung ist, dass Iran dahintersteckt. Sie haben es schon mehrfach getan und sind mit Hamas verbündet. Belege habe ich nicht gesehen, aber es wirkt wie eine ziemlich sichere Annahme
  • Könnte Cloudflare den nächsten paar HTTP-Requests von dieser IP nicht eine Seite anzeigen, die sagt: „Etwas in deinem Netzwerk nimmt an einem DDoS-Angriff teil“
    Große Anbieter könnten das alle so machen und vor die nächste besuchte Cloudflare-Site eine kleine Turnstile-ähnliche Seite schalten
    Wenn es in meinem Netzwerk ein infiziertes Gerät gibt, möchte ich das wissen, und derzeit habe ich kein echtes Monitoring, um so etwas zu erkennen. Es ist keine vollständige Lösung, aber Nutzer zumindest darauf hinzuweisen, dass es ein Problem gibt, wäre ein guter Anfang
    • Gute Idee. Dann könnten wir in die Zeit vor HTTPS zurückkehren, als ISPs Werbung in HTML einfügten. Diesmal würde man es eben normalisieren, wenn CDN-Anbieter das tun
    • Im CGNAT-Zeitalter ist das keine gute Idee
  • Cloudflare-Blog: https://blog.cloudflare.com/zero-day-rapid-reset-http2-recor...