Prieš kelias dienas tai pasklido žinia „Google“ užfiksavo didžiausią DDoS ataką prieš savo infrastruktūrą, kurio intensyvumas buvo 398 milijonai RPS (užklausų per sekundę). Išpuoliai buvo įvykdyti naudojant anksčiau nežinomą pažeidžiamumą (CVE-2023-44487) HTTP/2 protokole, kuris leidžia į serverį siųsti didelį srautą užklausų su minimalia apkrova klientui.
Minima, kad nauja atakos technika, pavadinta „Greitasis atstatymas“ Jis naudojasi tuo, kad HTTP/2 numatytos ryšio kanalų tankinimo priemonės leidžia suformuoti užklausų srautą jau užmegztame ryšyje, neatidarant naujų tinklo jungčių ir nelaukiant patvirtinimo apie paketų gavimą.
Pažeidžiamumas Tai laikoma HTTP/2 protokolo gedimo pasekmė , kurio specifikacijoje nurodyta, kad bandant atidaryti per daug srautų, turėtų būti atšaukti tik tie srautai, kurie viršija ribą, bet ne visas tinklas.
Kadangi kliento pusės ataka se gali būti atlikta tiesiog siunčiant užklausas negaunant atsakymų, Ataka gali būti įvykdyta su minimaliomis papildomomis išlaidomis. Pavyzdžiui, 201 milijono užklausų per sekundę ataka, kurią užfiksavo „Cloudflare“, buvo įvykdyta naudojant palyginti nedidelį 20 tūkstančių kompiuterių robotų tinklą.
Serverio pusėje gaunamų užklausų apdorojimo kaina yra žymiai didesnė, nepaisant jos atšaukimo, nes būtina atlikti tokias operacijas kaip duomenų struktūrų paskirstymas naujoms gijomis, užklausos analizavimas, antraštės išskleidimo ir URL priskyrimas ištekliui. Atakuojant atvirkštinius tarpinius serverius, ataka gali išplisti į serverius, nes tarpinis serveris gali turėti laiko peradresuoti užklausą į serverį prieš apdorojant RST_STREAM kadrą.
Ataka gali būti vykdoma tik pažeidžiamuose serveriuose, kurie palaiko HTTP/2 (scenarijus, skirtas patikrinti serverių pažeidžiamumo pasireiškimą, įrankius atakai vykdyti). HTTP/3 atakos dar nebuvo aptiktos, o jų atsiradimo galimybė nėra iki galo išanalizuota, tačiau „Google“ atstovai rekomenduoja serverių kūrėjams prie HTTP/3 diegimų pridėti saugumo priemonių, panašių į tas, kurios yra įdiegtos blokuojant HTTP/2 atakas.
Panašiai kaip atakos metodai, anksčiau naudojami HTTP/2, naujoji ataka taip pat sukuria daug gijų viename ryšyje. Pagrindinis naujosios atakos skirtumas yra tas, kad užuot laukus atsakymo, po kiekvienos siunčiamos užklausos seka kadras su RST_STREAM vėliava, kuris iškart atšaukia užklausą.
Ankstyvajame etape atšaukus užklausą galima atsikratyti atvirkštinio srauto į klientą ir išvengti didžiausio galimo srautų skaičiaus, kuris vienu metu atidaromas vienu HTTP/2 ryšiu HTTP serveriuose, apribojimų. Taigi naujoje atakoje į HTTP serverį siunčiamų užklausų apimtis nebepriklauso nuo vėlavimų tarp užklausos išsiuntimo ir atsakymo gavimo (RTT, round trip time) ir priklauso tik nuo serverio pralaidumo ryšio kanalas.
Minima, kad Naujausia išpuolių banga prasidėjo rugpjūčio pabaigoje ir tęsiasi šiandien. Ji skirta pagrindiniams infrastruktūros teikėjams, įskaitant „Google“ paslaugas, „Google Cloud Infrastructure“ ir jų klientus.
Nors šios atakos buvo vienos didžiausių, kurias „Google“ kada nors matė, pasaulinė apkrovos balansavimo ir DDoS mažinimo infrastruktūra leido toliau veikti.
Siekdami apsaugoti „Google“, jos klientus ir likusį internetą, jie padėjo koordinuotai su pramonės partneriais suprasti atakos mechaniką ir bendradarbiauti taikant švelninimo priemones, kurios gali būti įgyvendintos reaguojant į šias atakas.
Be Google, „Amazon“ ir „Cloudflare“ taip pat susidūrė su atakomis, kurių intensyvumas siekė 155 ir 201 mln. RPS. Naujos atakos gerokai viršija ankstesnės rekordinės DDoS atakos intensyvumą, kai užpuolikai sugebėjo sugeneruoti 47 mln. užklausų per sekundę srautą. Palyginimui, visas srautas visame žiniatinklyje yra nuo 1.000 milijardo iki 3.000 milijardų užklausų per sekundę.
Galiausiai, jei jus domina galimybė apie tai sužinoti daugiau, išsamią informaciją galite rasti sekanti nuoroda.