Neuer HTTP/2-"Rapid Reset"-DDoS-Angriff

 (cloud.google.com)
1 Punkte von GN⁺ 2023-10-11 | 1 Kommentare | Auf WhatsApp teilen
  • Im August 2023 wurden Google-Dienste und Cloud-Kunden Ziel eines neuartigen HTTP/2-basierten DDoS-Angriffs, der deutlich größer war als zuvor gemeldete Layer-7-Angriffe.
  • Der größte Angriff überschritt 398 Millionen Anfragen pro Sekunde, wurde jedoch größtenteils an der Netzwerkkante durch die globale Load-Balancing-Infrastruktur von Google abgefangen.
  • Das DDoS-Response-Team von Google überprüfte den Angriff und ergriff zusätzliche Schutzmaßnahmen, um ähnliche Angriffe künftig weiter abzuschwächen.
  • Seit Ende 2021 basierte der Großteil der bei Google-Diensten und Google-Cloud-Projekten beobachteten Layer-7-DDoS-Angriffe auf HTTP/2.
  • HTTP/2 verwendet "Streams", um verschiedene Nachrichten oder "Frames" zwischen Endpunkten zu übertragen, was genutzt werden kann, um DDoS-Angriffe effizienter zu machen.
  • Der HTTP/2-Rapid-Reset-Angriff besteht darin, dass ein Client gleichzeitig eine große Zahl von Streams öffnet und dann jede Anfrage sofort abbricht, anstatt auf die Antwort des Servers oder Proxys für jeden Anfrage-Stream zu warten.
  • Dieser Angriff erzeugt eine ausnutzbare Kostenasymmetrie zwischen Server und Client, da der Server für abgebrochene Anfragen weiterhin erheblichen Arbeitsaufwand leisten muss.
  • Es wurden Varianten des Rapid-Reset-Angriffs beobachtet; diese sind in der Regel nicht so effizient wie die ursprüngliche Version, können aber effizienter sein als herkömmliche HTTP/2-DDoS-Angriffe.
  • Gegenmaßnahmen für diesen Angriffsvektor können verschiedene Formen annehmen, konzentrieren sich aber vor allem darauf, Verbindungsstatistiken zu verfolgen und mithilfe verschiedener Signale und Business-Logik den Nutzen jeder einzelnen Verbindung zu bewerten.
  • Google beobachtet derzeit nicht, dass HTTP/3 als Vektor für groß angelegte DDoS-Angriffe genutzt wird, empfiehlt jedoch, dass HTTP/3-Serverimplementierungen vorsorglich Mechanismen umsetzen, die den Arbeitsaufwand begrenzen, der durch eine einzelne Transportverbindung ausgelöst werden kann.
  • Google half federführend dabei, einen koordinierten Prozess zur Offenlegung von Schwachstellen voranzutreiben, um den neuen HTTP/2-Vektor im gesamten Ökosystem zu adressieren.
  • Alle Anbieter, die HTTP/2-Dienste bereitstellen, sollten ihre Gefährdung durch dieses Problem bewerten und so schnell wie möglich Software-Patches und Updates für gängige Webserver und Programmiersprachen einspielen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-10-11
Hacker-News-Kommentare
  • Ein Artikel über einen neuen Typ von DDoS-Angriff namens „Rapid Reset“
  • Laufende Diskussion über den bisher größten DDoS-Angriff und eine HTTP/2-Zero-Day-Schwachstelle
  • Dass das haproxy-Team bereits 2018 ein ähnliches Problem im Zusammenhang mit HTTP/2 identifiziert und entschärft hatte
  • Einige Nutzer kritisieren, dass Google HTTP/2 geschaffen habe und sich nun als Retter vor einem von ihnen verursachten Problem präsentiere
  • Wie der Angriff die Kostenasymmetrie in HTTP/2-Serverimplementierungen ausnutzt
  • Die Überraschung einiger Nutzer darüber, dass diese Schwachstelle im HTTP/2-Designprozess offenbar nicht vorhergesehen wurde, wenn man bedenkt, dass Amplification-Angriffe in anderen Protokollen bereits bekannt waren
  • Die Ansicht, dass dieser Angriff eine Folge der Notwendigkeit von HTTP/2 sei, Werbung, Tracker und aufgeblähte Frontend-Frameworks schneller auszuliefern
  • Angesichts der Tatsache, dass dieser Angriffstyp erst 10 Jahre nach der Einführung von HTTP/2 aufgetaucht ist, äußern einige Nutzer Bedenken über potenzielle Schwachstellen in HTTP/3 und QUIC
  • Microsoft hat Details zu einem Patch für diese Schwachstelle veröffentlicht
  • Einige Nutzer stellten fest, dass der Blog-Header ständig eingeblendet wurde und dadurch das Lesen der Seite unmöglich machte
  • Bitte um Erklärung, was an diesem Angriff neu ist, da es sich nicht einfach um einen simplen Request-Flood handelt