多路非對稱攻擊:HTTP/2服務器上的下一代DDoS
近年來,使用HTTP協議的分布式拒絕服務(DDoS)攻擊正在流行,這個方向上的最新趨勢是使用消耗大量計算的請求來發起攻擊,這些稱為非對稱工作負載攻擊(Asymmetric Workload Attacks)的攻擊可以使用有限的資源關閉服務器,并且極難檢測。 HTTP/2的引入受到開發人員的歡迎,它改善了用戶體驗和效率。通過使用多路復用(Multiplexing)和服務器推送(Server Push)同時傳輸HTTP請求及其關聯的內聯資源的能力,使之成為可能。多路復用已使請求流量突發,并且基于連接限制的DDoS檢測機制已過時。與其意圖相反,復用也可能被濫用以在單個TCP連接中使用多個高工作負載請求發起復雜的DDoS攻擊,在這一領域還沒有進行足夠的研究。現有研究表明,HTTP/2協議使用戶可以輕松發起DDoS攻擊,但是沒有研究關注HTTP/2服務器是否可以更有效地處理DDoS攻擊。此外,對于復用和服務器推送被濫用的可能性,尚未進行足夠的研究。在這項工作中,分析了在相同負載下非對稱DDoS攻擊下與HTTP/1.1服務器相比的HTTP/2服務器的性能。本文提出了一種新的DDoS,稱為多路非對稱DDoS攻擊,它通過與預期不同的方式利用Multiplexing。研究證明了這種攻擊可以僅使用幾個攻擊客戶端,就令服務器癱瘓。在啟用Server Push的情況下,對服務器的多路復用非對稱攻擊除了觸發應用程序層攻擊外,還會觸發出口網絡層泛洪。
Introduction
自互聯網問世以來,DDoS攻擊一直困擾著互聯網, DDoS攻擊主要可以在網絡層或應用層執行。網絡層的攻擊需要更多資源來執行,這導致攻擊者近年來將目標對準了應用層。應用層DDoS攻擊試圖耗盡服務器資源,例如CPU或數據庫周期,內存或套接字連接。它們使用合法請求,并且可以使用相對較低的攻擊量執行。這使他們可以繞過大多數現有的DDoS防御機制。在過去十年中,使用HTTP協議的DDoS攻擊開始聲名狼藉,在2018年第一季度占所有攻擊的10%左右。專門針對CPU使用率的攻擊(稱為CPU耗盡攻擊)構成了應用程序層DDoS攻擊的主要部分。近年來,還記錄了利用消耗大量計算的HTTP請求的CPU耗盡攻擊的更復雜版本。這些攻擊稱為非對稱工作負載攻擊,可以用更少的資源耗盡服務器,從而帶來非常困難的挑戰。
2015年HTTP/2的標準化標志著互聯網的重大變化。HTTP/2旨在通過減少客戶端的頁面加載時間來提高HTTP協議的效率。該協議的新版本中進行的一些重大更改包括使用新的二進制成幀系統,引入了報頭壓縮,多路復用和服務器推送。多路復用的引入允許用戶將多個HTTP請求捆綁到一個TCP連接中,從而大大減少了網絡帶寬。另一方面,服務器推送允許服務器在沒有顯式請求的情況下將內聯資源發送到客戶端。多路復用和報頭壓縮的結合已導致HTTP/2中的請求大小大大減少,從而降低了帶寬利用率。這些修改有助于減少大多數客戶端的頁面加載延遲,尤其是在動態Web應用程序的情況下。單獨使用多路復用可以在某些情況下將頁面加載時間縮短40%,客戶端服務質量(QoS)的這種改進導致Web服務器和瀏覽器快速采用HTTP/2。大多數現代瀏覽器都支持HTTP/2。目前,所有網站中有40.7%使用HTTP/2。盡管HTTP/2在改善用戶體驗方面是有效的,但它在以下方面也面臨問題:
?突發流量:HTTP/2請求流量基本上是突發性的。對于相同的請求速率,HTTP/1.1中的穩定請求流現在已由大量請求的短脈沖代替。這使得必須過度配置Web服務器以同時處理比以前所需的更多請求,并使HTTP/2服務器容易受到DoS(或DDoS)攻擊。
?增強的客戶端請求生成功能:HTTP/2中的多路復用和報頭壓縮已導致單個請求的大小減少,從而使用戶可以使用相同的帶寬和數據包生成功能發送更多請求。反過來,這使攻擊者可以更有效地發起DDoS攻擊。
?濫用新引入的功能:HTTP/2引入了許多旨在改善用戶體驗并減少響應時間的功能。但是,大多數這些功能可能會被濫用,以在沒有適當驗證的情況下對Web服務器發起攻擊。例如,HTTP/2允許用戶為請求指定優先級順序,以改善QoS。引入此功能的初衷是為了改善用戶體驗,但是Imperva認為可以濫用此功能,以便在服務器上產生DoS攻擊。
開展這項研究工作的動機有兩個方面:
?HTTP/2比其前身更容易受到DDoS攻擊,因為它每個請求執行的工作更多。但是,現有的研究工作尚未在公平的評估環境下比較這兩種協議的性能。盡管HTTP/2服務器在每個請求上執行的工作要比其前任多,但它們還具有多項性能改進功能,例如二進制編碼可以彌補這一缺陷。在這項工作中,希望比較兩個服務器處于相同負載下的非對稱工作負載攻擊期間HTTP/1.1和HTTP/2服務器的性能。
?對于濫用復用和服務器推送在HTTP/2服務器上生成復雜攻擊的可能性,尚未進行任何研究工作。復用允許攻擊者從單個系統同時發送多個請求,從而無需購買大型僵尸網絡。除此之外,客戶端可以完全控制要復用的請求。這允許客戶端從單個系統同時發送多個高工作負載請求并發起攻擊。服務器推送也存在類似問題。為了提高性能,服務器必須推送客戶端所需的資源。盲目地推送與請求相關的所有資源將在很大程度上影響性能。通過這項工作,試圖證明多路復用和服務器推送可能被濫用來發起復雜的DDoS攻擊,并說明了盲目處理到達服務器的每個請求的危險。HTTP/2允許通過單個TCP連接發送多個消息,并在服務器上同時進行處理。通過在單個連接中發送多個內聯請求,可以更快地加載內容繁多的網頁。通過下圖a和下b中的圖示出了復用的特征。
Next-Generation DDos Attacksby Exploiting Multiplexing
通常,通過發送一個用于檢索文本內容的基本請求和多個用于檢索正確呈現頁面所需的內容的內聯請求(例如圖像,CSS和JavaScript文件)來滿足對Web應用程序的請求。基本請求通常在計算上很昂貴,因為它們在服務器上啟動一些處理,而內聯請求通常是靜態的并且可以輕松處理。由于網頁幾乎總是需要這些內聯資源來正確呈現,因此通常在對基本頁面的請求之后是對其內聯資源的請求。HTTP/2復用和服務器推送實質上是通過將所有資源捆綁在一起并通過不同的流為它們提供服務,從而消除請求和接收這些資源的開銷。但是,多路復用提出了一些安全方面的考慮。通過允許單個TCP連接同時進行多個請求,多路復用從本質上消除了購買大型僵尸網絡發起攻擊的需要。同樣,盡管有復用的預期用途,但是對可以將哪些請求復用在一起也沒有限制。攻擊者可以利用此優勢,并將多個基本請求捆綁到單個TCP連接中,并迫使服務器同時處理它們。如果多路復用計算量大的非對稱請求以形成攻擊有效載荷,則可能會出現DoS情況。
A.多路非對稱攻擊
本文提出了一種稱為多路非對稱攻擊的攻擊,其中,攻擊者將服務器允許的盡可能多的非對稱工作負載攻擊請求復用到單個TCP連接中,并同時啟動它們。這種攻擊極為危險,因為每個復用請求本身就是一個非對稱工作負載請求,需要進行大量計算。所有這些請求的組合可能會導致僅帶有少數攻擊系統的服務器癱瘓。除此之外,由于報頭壓縮的影響,這種攻擊所產生的入口帶寬將非常低。可以通過從前k個高工作負載請求中隨機選擇來生成更隱秘的攻擊版本。與使用單個URL作為目標相比,這為攻擊者提供了更好的偽裝。如果沒有對傳入連接進行正確的行為分析,則服務器將無法檢測到這種攻擊,因為它利用了合法請求并且已通過HTTP/2協議允許的功能進行了發送。
B.開啟服務器推送的多路非對稱攻擊
正確使用Server Push可以減少頁面加載時間,減少客戶端的工作量,從而改善客戶端的用戶體驗,但同時也會給Web服務器帶來負擔。現在,Web服務器需要同時或快速連續地服務多個請求。服務器推送,因此提高了服務請求時的服務器利用率。
服務器推送的另一方面是服務器現在將多個資源同時發送回客戶端,從而導致出口帶寬利用率提高。在支持Server Push的服務器上發起Multiplexed Asymmetric攻擊時,可能會出現特別復雜的情況。在這種攻擊中,服務器被迫為每個攻擊者同時處理n個請求(其中n是多路復用的程度),這導致服務器利用率的大幅提高。另一方面,服務器現在必須發送n個請求的響應,每個請求都具有多個關聯的內聯資源(例如c)。因此,與運行HTTP/1.1的服務器相比,出口帶寬被放大了n*c倍。這可能導致泛洪攻擊,從而影響服務器出口帶寬和附近的路由器,并在網絡層也引起DDoS攻擊。
Attack Methodology
生成非對稱工作負載攻擊需要一個準備階段,在該階段中,攻擊者必須監視Web應用程序以選擇要在其上發起攻擊的URL。由于增加了復雜性,因此現有DDoS攻擊生成工具均無法生成非對稱攻擊。生成非對稱工作負載攻擊的整個過程可以概括為四個步驟,如下圖所示。
A. Web應用程序掃描
生成非對稱工作負載攻擊的第一步是識別Web應用程序的結構。更具體地說,攻擊者需要知道Web應用程序中的不同URL,以標識最適合的URL。為了標識Web應用程序的結構,可以使用Web掃描器來搜尋目標Web應用程序并標識不同的URL。
B.確定高工作量狀態
下一步是確定每個請求的資源需求。請求的平均響應時間可以用作其工作量的近似值。從Web應用程序中的所有請求URL到其響應時間(代表其工作量)的映射構成了該Web應用程序的Request工作負載概況(Request Workload Profile)。下圖顯示了為示例Web應用程序獲得的Request工作負載概況。
考慮一個Web應用程序,該應用程序旨在處理m個不同類型的基本請求R={r1,r2,…,rm}和n個不同的內聯請求S={s1,s2,…,sn},這樣N=m+n。這些請求引入了不同的計算級別,這些計算級別可以近似于k個不同類別的工作負載,W={w1,w2,…,wk},w1
C.攻擊向量選擇
一旦為Web應用程序生成了Request Workload Profile,攻擊者就會獲得有關Web應用程序的信息,該信息可用于發起攻擊。攻擊者首先選擇要發起的攻擊類型,然后從Web應用程序的工作負載概況中選擇適當的攻擊請求。在這項工作中使用了兩種類型的攻擊。
?非對稱攻擊:非對稱工作負載攻擊利用Web應用程序的Request工作負載概況,并選擇Web應用程序中計算量最大的請求。換句話說,請求r‘∈{r|r∈R and f(r)= wk}。
?隱蔽非對稱攻擊:不對稱工作負載攻擊的一個更隱蔽的變化是從前l個工作負載類別中選擇請求,而不僅僅是前一個類別。在這種情況下,請求r’∈{r|r∈R and f(r)∈{wk,wk-1,…,wk-l+1}}。可以注意到,當l = k時,攻擊的這種變化分解為隨機HTTP泛洪。
確定請求類型后,必須將請求傳遞到目標Web應用程序。根據請求的傳遞方式,有兩個攻擊媒介。
1)簡單非對稱攻擊:簡單的非對稱攻擊向量可能會使用受感染的系統建立與目標Web應用程序的ε個TCP連接,并通過這些連接發送攻擊請求。
HTTP/1.1 Web服務器(或沒有復用的HTTP/2服務器)在任何時刻t進行單個連接而產生的工作負載為:
其中rt是在時間t處理的請求。如果假設攻擊者可以使用ε個攻擊客戶端,則每個時刻提交給服務器的總工作負載為:
其中0 <α≤1是同步效率。如果可以完全同步所有攻擊客戶端以完全同時啟動請求,則α= 1并且:
但是,由于同步和網絡延遲問題,所有攻擊的客戶端將無法在同一時間發起攻擊,從而導致攻擊效率略有下降。對于任何給定的α值,攻擊者始終會嘗試減少攻擊客戶端的數量ε,以便發起攻擊所需的資源更少。這可以通過在Web應用程序中發送計算量最大的請求來最大化f(rt)來實現。這對應于使用非對稱工作負載請求來發起攻擊,在這種情況下,工作負載變為:
2)多路非對稱攻擊:HTTP/2中的多路攻擊使攻擊者可以在同一TCP連接中發送多個請求,這意味著這些請求將在大約同一時間到達并由服務器執行。在兩種情況下研究這種攻擊的影響-服務器關閉和服務器打開。
案例I:服務器推送關閉時的多路非對稱攻擊,在這種攻擊中,每個攻擊的客戶端都建立一個TCP連接,并將ω非對稱工作負載請求同時發送到服務器。因此,可以使一個攻擊性客戶端傳遞到服務器的工作負載變為:
其中ω是攻擊者采用的多路復用程度,而Ω是在服務器上配置的最大多路復用程度。如果攻擊者可以利用ε個攻擊客戶端,則服務器上的總工作負載為:
案例II:服務器推送打開時的多路非對稱攻擊,啟用服務器推送時,服務器不僅處理它收到的請求,而且還必須發送關聯的內聯請求。假設每個網頁平均內嵌x個內聯請求,在這種情況下,單個攻擊客戶端傳遞給服務器的工作負載為:
假設內聯請求在計算復雜度方面沒有基礎請求通常具有的廣泛差異,則與單個HTTP/2請求相關的工作量可以減少為:
當啟用多路復用和服務器推送時,使用ε攻擊客戶端,傳遞給服務器的總工作負載為:
為了耗盡服務器資源,使用多路復用非對稱攻擊似乎是最好的選擇,因為它會將攻擊能力放大了ω倍,這是多路復用的放大程度。顯然,攻擊者可以通過選擇非對稱攻擊工作負載請求并利用服務器提供的完整多路復用優勢來獲得最大收益。在這種情況下,傳遞到Web應用程序的工作負載將變為:
如果還啟用了服務器推送,則工作負載會進一步增加:
D.發動攻擊
與非對稱攻擊相關的第四步也是最后一步是攻擊本身的實際發動,這可以通過任何支持HTTP/2的HTTP請求生成工具來完成。
Implementation Details
A.服務器配置
在測試設置中,受害者是具有Intel Xeon 3.70 Ghz CPU,運行Ubuntu 18.04的64 GB RAM的系統上的Apache 2.4 Web服務器。在三個電子商務Web應用程序(Opencart,Magento和Prestashop)上測試了提出的攻擊模型。由于目標是比較HTTP/1.1和HTTP/2的性能,因此將Web服務器配置為支持兩種版本的協議。另外,由于HTTP/2的現有實現均不支持該協議的未加密版本,因此將HTTP/2與HTTP/1.1和SSL(HTTPS)的性能進行了比較。Apache配置為使用Worker MPM模型,并配置為最多接受5000個同時請求。
B.攻擊工具
編寫了Linux Shell腳本來爬網Web應用程序并標識不同的URL或請求。然后,腳本將請求發送到每個URL,并記錄平均響應時間。對有關不同URL的響應時間的詳細信息進行了排序,并獲得了非對稱工作負載和隱蔽非對稱工作負載攻擊的目標URL。這些URL被傳遞到攻擊腳本,以生成請求并將請求發送到目標Web服務器。在可用的請求生成工具中,nghttp2提供了最全面的HTTP/功能介紹,因此已在攻擊腳本中使用了它。
Results and Discussion
A.簡單非對稱DDoS攻擊下HTTP/1.1和HTTP/2的性能比較
上圖顯示了HTTP/2 Web服務器的性能與運行HTTP/1.1的Web服務器的性能比較。上面第一張圖a-c顯示了這兩種協議在隱蔽非對稱工作負載期間的性能,第二張圖a-c顯示了在非對稱工作負載下隨著攻擊請求率的增加而提高的性能。
該實驗的結果表明,在受到非對稱工作負載攻擊時,HTTP/2的性能比使用SSL的HTTP/1.1更好。HTTP/2的性能可與沒有SSL的HTTP/1.1媲美,甚至略勝于它。這種改進的性能可歸因于HTTP/2中的大量性能開銷,例如二進制幀和標頭壓縮。該結果清楚地表明,盡管對HTTP/2提出了批評,但實際上在相同的負載下它的性能要優于其前身。
B.在多路非對稱攻擊下分析HTTP/2服務器的性能
即使簡單的非對稱攻擊證明可以有效地關閉HTTP/2服務器,將多個高工作負載請求復用到單個TCP連接中的能力對于HTTP/2服務器而言也可能是更大的挑戰。在本節中,分析了上述多路非對稱攻擊對HTTP/2服務器的影響。與非對稱工作負載攻擊類似,可以通過從前k個高工作負載請求中隨機選擇來采用更隱蔽的攻擊版本。
上圖顯示了在不同程度的多路復用和攻擊的客戶端數量下,目標服務器的CPU使用率如何變化。該實驗的結果表明,將請求多路復用到單個TCP連接中的能力構成了嚴重的安全威脅,使攻擊者可以毫不費力地提供更多非對稱攻擊有效載荷。在這種情況下,當多路復用度為100時,僅使用四個攻擊客戶端即可關閉目標系統Magento,CPU使用率達到80%。可以看出,攻擊向量的乘積效應不是線性的。這是由于同步效率因子(α)的影響,以及同步如此大量攻擊請求的困難。如果可以確保適當的同步,則乘法效果將線性增加,并且攻擊將更具破壞性。
上圖展示了使用nghttp2工具(啟用或不啟用多路復用)執行的HTTP/2非對稱DDoS攻擊之間的比較。此處將復用度設置為100。當攻擊的客戶端數量較少時,復用的乘積效應清晰可見。隨著客戶數量的增加,乘積效應由于同步效率因子(α)的影響而降低。通過適當的同步,相乘效果將接近ω。但是,可以觀察到,與簡單的非對稱攻擊相比,多路復用的非對稱攻擊可以通過較少的資源來提高CPU利用率。
C.在多路非對稱DDoS攻擊下分析服務器推送對HTTP/2服務器的影響
上圖描繪了打開和關閉服務器推送時在多路非對稱攻擊(ω= 100)期間目標服務器的CPU使用率的變化。結果表明,Server Push可以提高服務器的CPU利用率,但增長幅度不大。根據公式,僅由于服務器推送而導致的每個請求的CPU使用率峰值為:
μs是內聯請求的平均工作負載。由于大多數內聯請求都是簡單的GET請求,并且不會執行太多服務器計算,因此此結果是可以理解的。
下圖描述了在多路非對稱攻擊(ω= 100)期間,出口網絡帶寬如何隨攻擊客戶端的數量而變化。由于在兩種情況下對應于網絡帶寬的值差異很大,選擇使用半對數圖表示結果,網絡帶寬以對數刻度為底數2。Opencart的實際網絡帶寬值為在下表中給出。
上圖和上表均清楚地表明,在服務器上啟用服務器推送后,網絡帶寬將大大增加。出口流量的激增可能會阻塞與服務器相鄰的路由器和其他網絡設備。大多數網絡層DDoS防御都試圖檢測入口流量的增加,并且通常不對從服務器流出的流量進行任何檢查。即使在啟用出口篩選的情況下,也不太可能阻止攻擊,因為流量正在流向具有合法IP地址的客戶端。
盡管當前支持服務器推送的服務器比例很小,但是人們越來越需要努力理解實現和使用服務器推送的最佳方法。使用服務器推送的服務器數量也在穩定增長。諸如此類的利用多路復用和服務器推送的攻擊在不久的將來可能會變得司空見慣,因此有必要開發針對它們的主動防御機制。
Conclusion
分布式拒絕服務(DDoS)攻擊是一類可能永遠不會消失的攻擊。在過去的幾年中,使用HTTP請求發起DDoS攻擊的人數有所增加。最近還觀察到非對稱工作負載攻擊,該攻擊使用計算量大的請求來更快地關閉服務器。由于HTTP/2強制服務器執行更多計算,并使它更容易受到DDoS攻擊,因此受到了批評。同樣令人擔憂的是,由于提高了HTTP/2的性能而引入的諸如Multiplexing和Server Push之類的功能可能會被濫用來發起攻擊。在這項工作中,在服務器CPU利用率方面探索了HTTP/2服務器與其前身相比的性能。已經表明,對于相同數量和類型的請求,由于協議的修改,HTTP/2服務器實際上比運行HTTP/1.1的服務器性能更好。但是,盡管性能有所提高,但HTTP/2服務器仍容易受到稱為多路復用非對稱攻擊的新攻擊媒介的攻擊。已經證明,這種攻擊可以導致一臺服務器的攻擊客戶端數量減少到四個。還證明了,如果在HTTP/2服務器上啟用了服務器推送,則使用多路復用的非對稱攻擊也可能導致網絡層的出口泛洪攻擊。這可能導致應用程序層攻擊和網絡層攻擊與單個攻擊媒介的組合。通過演示這些攻擊的可行性,試圖揭示一個事實,即請求流的協議遵從性并不意味著該請求流不受攻擊。為了完全保護系統不受DDoS攻擊,有必要進行行為分析,其中要考慮到協議功能的預期用途以及合法用戶如何使用該功能。在此方向上的未來工作應集中于對預期的用戶行為進行建模,并開發異常檢測技術來檢測這些復雜的攻擊。
