DDoS és un atac a un sistema d'ordinadors o xarxa que fa que un servei o recurs sigui inaccessible als usuaris legítims
Fa pocs dies es va donar a conèixer la notícia que Google va registrar el major atac DDoS a la seva infraestructura, la intensitat del qual va ser de 398 milions de RPS (sol·licituds per segon). Els atacs es van dur a terme utilitzant una vulnerabilitat prèviament desconeguda (CVE-2023-44487) al protocol HTTP/2, que permet enviar un gran flux de sol·licituds al servidor amb una càrrega mínima per al client.
S'esmenta que la nova tècnica d'atac anomenada Rapid Reset aprofita el fet que els mitjans de multiplexació de canals de comunicació proporcionats a HTTP/2 permeten formar un flux de sol·licituds dins d'una connexió ja establerta, sense obrir noves connexions de xarxa i sense esperant confirmació de recepció de paquets.
la vulnerabilitat es considera conseqüència d'una fallada al protocol HTTP/2 , l'especificació del qual estableix que si s'intenta obrir massa fluxos, només s'han de cancel·lar els fluxos que superin el límit, però no tota la xarxa.
Atès que un atac del costat del client se pot dur a terme simplement enviant sol·licituds sense rebre respostes, latac es pot dur a terme amb una sobrecàrrega mínima. Per exemple, un atac de 201 milions de sol·licituds per segon registrat per Cloudflare es va dur a terme utilitzant una botnet relativament petita de 20 mil ordinadors.
Al costat del servidor, el cost de processar les sol·licituds entrants és significativament més gran, malgrat la seva cancel·lació, ja que cal realitzar operacions com assignar estructures de dades per a nous subprocessos, analitzar la sol·licitud, descomprimir la capçalera i assignar la URL al recurs. En atacar servidors intermediaris inversos, l'atac es pot estendre als servidors, ja que el servidor intermediari pot tenir temps per redirigir la sol·licitud al servidor abans que es processi la trama RST_STREAM.
Un atac només es pot dur a terme en servidors vulnerables que admetin HTTP/2 (un script per verificar la manifestació de vulnerabilitats als servidors, eines per fer un atac). Per a HTTP/3, els atacs encara no s'han detectat i la possibilitat que passin no s'ha analitzat completament, però els representants de Google recomanen que els desenvolupadors de servidors afegeixin mesures de seguretat a les implementacions de HTTP/3 similars a les implementades per bloquejar atacs a HTTP/2.
De manera similar als mètodes d'atac utilitzats anteriorment a HTTP/2, el nou atac també crea una gran quantitat de subprocessos dins d'una sola connexió. La diferència clau del nou atac és que en comptes d'esperar una resposta, cada sol·licitud enviada va seguida d'un marc amb l'indicador RST_STREAM, que cancel·la immediatament la sol·licitud.
Cancel·lar una sol·licitud en una etapa primerenca permet desfer-se del trànsit invers cap al client i evitar les restriccions en la quantitat màxima possible de transmissions que s'obren simultàniament dins d'una única connexió HTTP/2 a servidors HTTP. Així, en el nou atac, el volum de sol·licituds enviades al servidor HTTP deixa de dependre dels retards entre l'enviament de la sol·licitud i la recepció de la resposta (RTT, temps d'anada i tornada) i depèn únicament de l'amplada de banda del canal de comunicació.
S'esmenta que l'onada d'atacs més recent va començar a finals d'agost i continua actualment. S'adreça als principals proveïdors d'infraestructura, inclosos els serveis de Google, la infraestructura de Google Cloud i els clients.
Encara que aquests atacs van estar entre els més grans que Google hagi vist, el seu equilibri de càrrega global i la seva infraestructura de mitigació de DDoS van permetre que els seus serveis continuessin funcionant.
Per protegir Google, els seus clients i la resta dInternet, van ajudar a liderar un esforç coordinat amb socis de la indústria per comprendre la mecànica de latac i col· laborar en les mesures de mitigació que es poden implementar en resposta a aquests atacs.
A més de Google, Amazon i Cloudflare també es van enfrontar a atacs amb una intensitat de 155 i 201 milions de RPS. Els nous atacs superen significativament la intensitat de l'anterior atac DDoS, que va batre rècords, en què els atacants van aconseguir generar un flux de 47 milions de sol·licituds per segon. Com a comparació, s'estima que tot el trànsit a tota la web és d'entre 1.000 i 3.000 milions de sol·licituds per segon.
Finalment si estàs interessat a poder conèixer més sobre això, pots consultar els detalls al següent enllaç.