Google ลดการโจมตี DDoS ครั้งใหญ่ที่สุดในประวัติศาสตร์ได้

การโจมตี DDoS

DDoS คือการโจมตีระบบคอมพิวเตอร์หรือเครือข่ายที่ทำให้บริการหรือทรัพยากรไม่สามารถเข้าถึงได้โดยผู้ใช้ที่ถูกต้องตามกฎหมาย

เมื่อไม่กี่วันก่อนมีข่าวออกมาว่า Google บันทึกการโจมตี DDoS ครั้งใหญ่ที่สุดบนโครงสร้างพื้นฐาน ซึ่งมีความเข้มข้นอยู่ที่ 398 ล้าน RPS (คำขอต่อวินาที) การโจมตีเกิดขึ้น ใช้ช่องโหว่ที่ไม่รู้จักก่อนหน้านี้ (CVE-2023-44487) ในโปรโตคอล HTTP/2 ซึ่งอนุญาตให้ส่งคำขอจำนวนมากไปยังเซิร์ฟเวอร์โดยมีภาระงานบนไคลเอนต์น้อยที่สุด

เป็นที่กล่าวขวัญกันว่า เทคนิคการโจมตีใหม่ที่เรียกว่า "Rapid Reset" ใช้ประโยชน์จากข้อเท็จจริงที่ว่าช่องทางการสื่อสารแบบมัลติเพล็กซ์ที่มีให้ใน HTTP/2 ช่วยให้สามารถสร้างกระแสคำขอภายในการเชื่อมต่อที่สร้างไว้แล้ว โดยไม่ต้องเปิดการเชื่อมต่อเครือข่ายใหม่ และไม่รอการยืนยันการรับแพ็กเก็ต

ช่องโหว่ ถือว่าเป็นผลมาจากความล้มเหลวในโปรโตคอล HTTP/2 ซึ่งข้อกำหนดระบุว่าหากคุณพยายามเปิดโฟลว์มากเกินไป ควรยกเลิกเฉพาะโฟลว์ที่เกินขีดจำกัดเท่านั้น แต่ไม่ใช่ทั้งเครือข่าย

เนื่องจากการโจมตีฝั่งไคลเอ็นต์e สามารถดำเนินการได้โดยเพียงแค่ส่งคำขอโดยไม่ได้รับการตอบกลับ การโจมตีสามารถทำได้โดยมีค่าใช้จ่ายน้อยที่สุด ตัวอย่างเช่น การโจมตี 201 ล้านคำขอต่อวินาทีที่บันทึกโดย Cloudflare ดำเนินการโดยใช้บอตเน็ตที่ค่อนข้างเล็กซึ่งมีคอมพิวเตอร์ 20 เครื่อง

ทางฝั่งเซิร์ฟเวอร์ ค่าใช้จ่ายในการประมวลผลคำขอที่เข้ามานั้นสูงกว่ามาก แม้ว่าจะมีการยกเลิก เนื่องจากจำเป็นต้องดำเนินการต่างๆ เช่น การจัดสรรโครงสร้างข้อมูลสำหรับเธรดใหม่ แยกวิเคราะห์คำขอ ขยายขนาดส่วนหัว และกำหนด URL ให้กับทรัพยากร เมื่อโจมตีพร็อกซีย้อนกลับ การโจมตีสามารถแพร่กระจายไปยังเซิร์ฟเวอร์ เนื่องจากพร็อกซีอาจมีเวลาในการเปลี่ยนเส้นทางคำขอไปยังเซิร์ฟเวอร์ก่อนที่เฟรม RST_STREAM จะถูกประมวลผล

การโจมตีสามารถทำได้บนเซิร์ฟเวอร์ที่มีช่องโหว่ซึ่งรองรับ HTTP/2 เท่านั้น (สคริปต์เพื่อตรวจสอบการปรากฏของช่องโหว่บนเซิร์ฟเวอร์ เครื่องมือในการโจมตี) สำหรับ HTTP/3 ยังตรวจไม่พบการโจมตีและความเป็นไปได้ที่จะเกิดขึ้นยังไม่ได้รับการวิเคราะห์อย่างสมบูรณ์ แต่ตัวแทนของ Google แนะนำให้นักพัฒนาเซิร์ฟเวอร์เพิ่มมาตรการรักษาความปลอดภัยให้กับการใช้งาน HTTP/3 ซึ่งคล้ายกับที่ใช้เพื่อป้องกันการโจมตีบน HTTP/2

เช่นเดียวกับวิธีการโจมตีที่เคยใช้ใน HTTP/2 การโจมตีใหม่ยังสร้างเธรดจำนวนมากภายในการเชื่อมต่อเดียว ข้อแตกต่างที่สำคัญของการโจมตีใหม่คือ แทนที่จะรอการตอบสนอง แต่ละคำขอที่ส่งจะตามด้วยเฟรมที่มีแฟล็ก RST_STREAM ซึ่งจะยกเลิกคำขอทันที

การยกเลิกคำขอตั้งแต่เนิ่นๆ ช่วยให้คุณสามารถกำจัดการรับส่งข้อมูลย้อนกลับไปยังไคลเอนต์ และหลีกเลี่ยงการจำกัดจำนวนสตรีมสูงสุดที่เป็นไปได้ที่เปิดพร้อมกันภายในการเชื่อมต่อ HTTP/2 เดียวบนเซิร์ฟเวอร์ HTTP ดังนั้นในการโจมตีครั้งใหม่ ปริมาณคำขอที่ส่งไปยังเซิร์ฟเวอร์ HTTP จะไม่ขึ้นอยู่กับความล่าช้าระหว่างการส่งคำขอและรับการตอบกลับอีกต่อไป (RTT, เวลาไปกลับ) และขึ้นอยู่กับแบนด์วิดท์ของช่องทางการสื่อสารของเซิร์ฟเวอร์เท่านั้น

เป็นที่กล่าวขวัญกันว่า การโจมตีระลอกล่าสุดเริ่มขึ้นในช่วงปลายเดือนสิงหาคมและดำเนินต่อไปจนถึงทุกวันนี้ โดยกำหนดเป้าหมายไปที่ผู้ให้บริการโครงสร้างพื้นฐานรายใหญ่ รวมถึงบริการของ Google, โครงสร้างพื้นฐานของ Google Cloud และลูกค้าของพวกเขา 

แม้ว่าการโจมตีเหล่านี้จะเป็นหนึ่งในการโจมตีที่ใหญ่ที่สุดที่ Google เคยพบเห็น การปรับสมดุลโหลดทั่วโลกและโครงสร้างพื้นฐานการลด DDoS ทำให้บริการของตนทำงานต่อไปได้ 

เพื่อปกป้อง Google ลูกค้า และส่วนที่เหลือของอินเทอร์เน็ต พวกเขาช่วยนำความพยายามในการประสานงานกับพันธมิตรในอุตสาหกรรมเพื่อทำความเข้าใจกลไกของการโจมตี และทำงานร่วมกันในมาตรการบรรเทาผลกระทบที่สามารถนำไปใช้เพื่อตอบสนองต่อการโจมตีเหล่านี้

นอกจากกูเกิลแล้ว Amazon และ Cloudflare ยังเผชิญกับการโจมตีที่ความเข้มข้น 155 และ 201 ล้าน RPS การโจมตีครั้งใหม่นี้เกินความรุนแรงของการโจมตี DDoS ที่ทำลายสถิติครั้งก่อนอย่างเห็นได้ชัด ซึ่งผู้โจมตีสามารถสร้างโฟลว์คำขอได้ 47 ล้านคำขอต่อวินาที สำหรับการเปรียบเทียบ การรับส่งข้อมูลทั้งหมดบนเว็บทั้งหมดคาดว่าจะอยู่ระหว่าง 1.000 พันล้านถึง 3.000 พันล้านคำขอต่อวินาที

สุดท้ายนี้ หากสนใจอยากทราบข้อมูลเพิ่มเติม สามารถเข้าไปดูรายละเอียดใน ลิงค์ต่อไปนี้


แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. รับผิดชอบข้อมูล: AB Internet Networks 2008 SL
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา