DDoS är en attack på ett datorsystem eller nätverk som gör att en tjänst eller resurs blir otillgänglig för legitima användare.
För några dagar sedan kom nyheten om det Google registrerade den största DDoS-attacken på sin infrastruktur, vars intensitet var 398 miljoner RPS (förfrågningar per sekund). Attackerna genomfördes använder en tidigare okänd sårbarhet (CVE-2023-44487) i HTTP/2-protokollet, vilket gör att en stor ström av förfrågningar kan skickas till servern med minimal belastning på klienten.
Det nämns det den nya attacktekniken kallad "Rapid Reset" Den drar fördel av det faktum att medlen för multiplexering av kommunikationskanaler som tillhandahålls i HTTP/2 tillåter att ett flöde av förfrågningar bildas inom en redan etablerad anslutning, utan att öppna nya nätverksanslutningar och utan att vänta på bekräftelse på mottagande av paket.
Sårbarhet Det anses vara en följd av ett fel i HTTP/2-protokollet , vars specifikation säger att om man försöker öppna för många flöden ska bara de flöden som överskrider gränsen avbrytas, men inte hela nätet.
Sedan en attack på klientsidan se kan utföras genom att helt enkelt skicka förfrågningar utan att få svar, Attacken kan utföras med minimal overhead. Till exempel utfördes en attack på 201 miljoner förfrågningar per sekund registrerad av Cloudflare med ett relativt litet botnät på 20 tusen datorer.
På serversidan är kostnaden för att behandla inkommande förfrågningar betydligt högre, trots att den avbröts, eftersom det är nödvändigt att utföra operationer som att allokera datastrukturer för nya trådar, tolka begäran, dekomprimera rubriken och tilldela webbadressen till resursen. När man attackerar omvända proxyservrar kan attacken spridas till servrarna, eftersom proxyn kan hinna omdirigera begäran till servern innan RST_STREAM-ramen bearbetas.
En attack kan endast utföras på sårbara servrar som stöder HTTP/2 (ett skript för att kontrollera manifestationen av sårbarheter på servrar, verktyg för att utföra en attack). För HTTP/3 har attacker ännu inte upptäckts och möjligheten att de inträffar har inte analyserats helt, men Googles representanter rekommenderar att serverutvecklare lägger till säkerhetsåtgärder för HTTP/3-implementeringar liknande de som implementerats för att blockera attacker på HTTP/2.
I likhet med attackmetoder som tidigare använts i HTTP/2, skapar den nya attacken också ett stort antal trådar inom en enda anslutning. Den viktigaste skillnaden med den nya attacken är att istället för att vänta på ett svar, följs varje begäran som skickas av en ram med flaggan RST_STREAM, som omedelbart avbryter begäran.
Genom att avbryta en förfrågan i ett tidigt skede kan du bli av med omvänd trafik till klienten och undvika begränsningar för maximalt möjliga antal strömmar som öppnas samtidigt inom en enda HTTP/2-anslutning på HTTP-servrar. Således, i den nya attacken, beror volymen av förfrågningar som skickas till HTTP-servern inte längre på förseningarna mellan att skicka förfrågan och ta emot svaret (RTT, tur och retur) och beror endast på serverns kommunikationskanals bandbredd.
Det nämns det Den senaste vågen av attacker började i slutet av augusti och fortsätter idag. Den riktar sig till stora infrastrukturleverantörer, inklusive Google Services, Google Cloud Infrastructure och deras kunder.
Även om dessa attacker var bland de största som Google någonsin har sett, dess globala lastbalansering och DDoS-reducerande infrastruktur gjorde att dess tjänster kunde fortsätta att köras.
För att skydda Google, dess kunder och resten av Internet hjälpte de till att leda en samordnad insats med branschpartners för att förstå mekaniken bakom attacken och samarbeta kring begränsningsåtgärder som kan implementeras som svar på dessa attacker.
Förutom Google, Amazon och Cloudflare mötte också attacker med en intensitet på 155 och 201 miljoner RPS. De nya attackerna överstiger avsevärt intensiteten för den tidigare rekordhöga DDoS-attacken, där angripare lyckades generera ett flöde på 47 miljoner förfrågningar per sekund. Som jämförelse uppskattas all trafik på hela webben vara mellan 1.000 miljard och 3.000 miljarder förfrågningar per sekund.
Slutligen, om du är intresserad av att kunna veta mer om det, kan du konsultera detaljerna i följande länk.