DDoS est une attaque contre un système informatique ou un réseau qui rend un service ou une ressource inaccessible aux utilisateurs légitimes.
Il y a quelques jours, la nouvelle a éclaté que Google a enregistré la plus grande attaque DDoS contre son infrastructure, dont l'intensité était de 398 millions de RPS (requêtes par seconde). Les attaques ont été menées en utilisant une vulnérabilité jusqu'alors inconnue (CVE-2023-44487) dans le protocole HTTP/2, qui permet d'envoyer un flux important de requêtes au serveur avec une charge minimale sur le client.
Il est mentionné que la nouvelle technique d'attaque appelée "Rapid Reset" Il profite du fait que les moyens de multiplexage des canaux de communication prévus dans HTTP/2 permettent de former un flux de requêtes au sein d'une connexion déjà établie, sans ouvrir de nouvelles connexions réseau et sans attendre la confirmation de réception des paquets.
Vulnérabilité Ceci est considéré comme une conséquence d’une défaillance du protocole HTTP/2 , dont la spécification stipule que si vous essayez d'ouvrir trop de flux, seuls les flux qui dépassent la limite doivent être annulés, mais pas l'ensemble du réseau.
Depuis une attaque côté client se peut être réalisé par simple envoi de requêtes sans recevoir de réponses, L’attaque peut être menée avec un minimum de frais généraux. Par exemple, une attaque de 201 millions de requêtes par seconde enregistrée par Cloudflare a été menée à l'aide d'un botnet relativement petit de 20 XNUMX ordinateurs.
Côté serveur, le coût de traitement des requêtes entrantes est nettement plus élevé, malgré son annulation, car il est nécessaire d'effectuer des opérations telles que l'allocation de structures de données pour les nouveaux threads, l'analyse de la requête, la décompression de l'en-tête et l'attribution de l'URL à la ressource. Lors d'une attaque de proxy inverse, l'attaque peut se propager aux serveurs, car le proxy peut avoir le temps de rediriger la requête vers le serveur avant que la trame RST_STREAM ne soit traitée.
Une attaque ne peut être menée que sur des serveurs vulnérables prenant en charge HTTP/2 (un script pour vérifier la manifestation de vulnérabilités sur les serveurs, des outils pour mener une attaque). Pour HTTP/3, les attaques n'ont pas encore été détectées et la possibilité de leur apparition n'a pas été entièrement analysée, mais les représentants de Google recommandent aux développeurs de serveurs d'ajouter des mesures de sécurité aux implémentations HTTP/3 similaires à celles mises en œuvre pour bloquer les attaques sur HTTP/2.
Semblable aux méthodes d'attaque précédemment utilisées dans HTTP/2, la nouvelle attaque crée également un grand nombre de threads au sein d'une seule connexion. La principale différence de la nouvelle attaque est qu'au lieu d'attendre une réponse, chaque requête envoyée est suivie d'une trame avec l'indicateur RST_STREAM, qui annule immédiatement la requête.
L'annulation précoce d'une requête vous permet de vous débarrasser du trafic inverse vers le client et d'éviter les restrictions sur le nombre maximum possible de flux ouverts simultanément au sein d'une seule connexion HTTP/2 sur des serveurs HTTP. Ainsi, dans la nouvelle attaque, le volume de requêtes envoyées au serveur HTTP ne dépend plus des délais entre l'envoi de la requête et la réception de la réponse (RTT, round trip time) et dépend uniquement de la bande passante du canal de communication.
Il est mentionné que La vague d’attaques la plus récente a débuté fin août et se poursuit aujourd’hui. Il cible les principaux fournisseurs d'infrastructures, notamment les services Google, Google Cloud Infrastructure et leurs clients.
Même si ces attaques comptent parmi les plus importantes jamais connues par Google, son infrastructure mondiale d’équilibrage de charge et d’atténuation DDoS a permis à ses services de continuer à fonctionner.
Pour protéger Google, ses clients et le reste d'Internet, ils ont contribué à mener un effort coordonné avec des partenaires industriels pour comprendre les mécanismes de l'attaque et collaborer sur les mesures d'atténuation qui peuvent être mises en œuvre en réponse à ces attaques.
Outre Google, Amazon et Cloudflare ont également été confrontés à des attaques d'une intensité de 155 et 201 millions de RPS. Les nouvelles attaques dépassent largement l'intensité de la précédente attaque DDoS record, dans laquelle les attaquants avaient réussi à générer un flux de 47 millions de requêtes par seconde. A titre de comparaison, l’ensemble du trafic sur l’ensemble du Web est estimé entre 1.000 milliard et 3.000 milliards de requêtes par seconde.
Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans la lien suivant