DDoS — это атака на компьютерную систему или сеть, в результате которой служба или ресурс становятся недоступными для законных пользователей.
Несколько дней назад появилась новость о том, что Google зафиксировала крупнейшую DDoS-атаку на свою инфраструктуру интенсивность которого составила 398 миллионов RPS (запросов в секунду). Нападения были осуществлены используя ранее неизвестную уязвимость (CVE-2023-44487) в протоколе HTTP/2, что позволяет отправлять на сервер большой поток запросов с минимальной нагрузкой на клиент.
Упоминается, что новая техника атаки под названием «Быстрый сброс» Он использует то, что средства мультиплексирования каналов связи, предусмотренные в HTTP/2, позволяют формировать поток запросов внутри уже установленного соединения, не открывая новых сетевых подключений и не дожидаясь подтверждения приема пакетов.
Уязвимость Это считается следствием сбоя в протоколе HTTP/2. , спецификация которого гласит, что при попытке открыть слишком много потоков следует отменить только те потоки, которые превышают лимит, а не всю сеть.
Поскольку атака на стороне клиентае можно осуществить, просто отправив запросы без получения ответов, Атака может быть осуществлена с минимальными накладными расходами. Например, атака со скоростью 201 миллион запросов в секунду, зафиксированная Cloudflare, была проведена с использованием относительно небольшого ботнета из 20 тысяч компьютеров.
На стороне сервера стоимость обработки входящих запросов существенно выше, несмотря на его отмену, поскольку необходимо выполнить такие операции, как выделение структур данных для новых потоков, разбор запроса, распаковка заголовка и присвоение URL-адреса ресурсу. При атаке на обратные прокси атака может распространиться на серверы, так как прокси может успеть перенаправить запрос на сервер до того, как будет обработан кадр RST_STREAM.
Атака может быть осуществлена только на уязвимые серверы, поддерживающие HTTP/2. (скрипт для проверки проявления уязвимостей на серверах, инструменты для проведения атаки). Для HTTP/3 атаки пока не обнаружены и возможность их возникновения до конца не проанализирована, но представители Google рекомендуют разработчикам серверов добавить в реализации HTTP/3 меры безопасности, аналогичные тем, которые реализованы для блокировки атак на HTTP/2.
Подобно методам атаки, ранее использовавшимся в HTTP/2, новая атака также создает большое количество потоков в одном соединении. Ключевое отличие новой атаки в том, что вместо ожидания ответа за каждым отправленным запросом следует кадр с флагом RST_STREAM, который немедленно отменяет запрос.
Отмена запроса на ранней стадии позволяет избавиться от обратного трафика клиенту и избежать ограничений на максимально возможное количество одновременно открываемых потоков в рамках одного HTTP/2-соединения на HTTP-серверах. Таким образом, в новой атаке объем запросов, отправляемых на HTTP-сервер, больше не зависит от задержек между отправкой запроса и получением ответа (RTT, времени приема-передачи) и зависит только от пропускной способности канала связи сервера.
Упоминается, что Последняя волна атак началась в конце августа и продолжается по сей день. Он нацелен на крупных поставщиков инфраструктуры, включая Google Services, Google Cloud Infrastructure и их клиентов.
Хотя эти атаки были одними из крупнейших, которые когда-либо видел Google, его глобальная инфраструктура балансировки нагрузки и предотвращения DDoS-атак позволила его сервисам продолжать работу.
Чтобы защитить Google, ее клиентов и остальную часть Интернета, они помогли скоординировать усилия с партнерами по отрасли, чтобы понять механизм атаки и совместно разработать меры по смягчению последствий, которые могут быть реализованы в ответ на эти атаки.
Помимо Google, Amazon и Cloudflare также столкнулись с атаками интенсивностью 155 и 201 млн RPS. Новые атаки существенно превосходят по интенсивности предыдущую рекордную DDoS-атаку, в ходе которой злоумышленникам удалось сгенерировать поток в 47 миллионов запросов в секунду. Для сравнения, весь трафик во всей сети оценивается в пределах от 1.000 до 3.000 миллиардов запросов в секунду.
Наконец, если вы заинтересованы в том, чтобы узнать больше об этом, вы можете ознакомиться с подробностями в по следующей ссылке.