自8月以來,一種名為“HTTP/2快速重置”的新型DDoS(分布式拒絕服務)技術被積極利用為零日漏洞,惡意行為者發起互聯網歷史上最大規模的分布式拒絕服務(DDoS)攻擊。
Cloudflare于8月下旬開始分析攻擊方法和底層漏洞。該公司表示,一個未知的威脅參與者利用了廣泛使用的HTTP/2協議中的一個弱點來發起“巨大的、超容量的”DDoS攻擊。
谷歌觀察到一次 DDoS攻擊,峰值可達3.98億RPS,是這家互聯網巨頭此前遭遇的最大規模攻擊的七倍多。谷歌表示,他們能夠通過在網絡邊緣增加更多容量來緩解這些新的攻擊。
Cloudflare發現的其中一次攻擊規模是該公司2月份報告的破紀錄的每秒7100萬次請求(RPS)攻擊的三倍。而HTTP/2 Rapid Reset DDoS活動的峰值達到2.01億RPS。令人擔憂的是,這是由一個20000臺機器組成的相對較小的僵尸網絡實現的。
自8月下旬以來,Cloudflare已經檢測并緩解了超過1000次“HTTP/2 Rapid Reset”DDoS攻擊,超過1000萬rps,其中184次打破了之前7100萬rps的記錄。
Cloudflare相信,隨著更多的威脅參與者使用更廣泛的僵尸網絡以及新的攻擊方法,HTTP/2快速重置攻擊將繼續打破更高的記錄。考慮到整個網絡通常每秒只能看到1-3億個請求,使用這種方法將整個網絡的請求集中在少數目標上并非不可想象。
HTTP/2快速重置詳細信息
這種新型攻擊利用了一個被跟蹤為CVE-2023-44487的零日漏洞,該漏洞濫用了HTTP/2協議中的一個弱點。簡單地說,該攻擊方法濫用HTTP/2的流取消功能,連續發送和取消請求,使目標服務器/應用程序不堪重負,并強加DoS狀態。
HTTP/2以參數的形式提供了一種保護措施,該參數限制了并發活動流的數量,以防止DoS攻擊;然而,這并不總是有效的。協議開發人員引入了一種更有效的措施,稱為“請求取消”,它不會破壞整個連接,但可能會被濫用。
自8月底以來,惡意行為者一直在濫用這一功能,在服務器上發送一系列HTTP/2請求和重置(RST_Stream幀),要求服務器處理每一個請求并執行快速重置,使其無法響應新的傳入請求。
請求流圖
谷歌在其關于該問題的帖子中解釋道:“該協議不要求客戶端和服務器以任何方式協調取消,客戶端可以單方面進行。”客戶端還可以假設,當服務器收到RST_STREAM幀時,取消將立即生效,然后再處理來自該TCP連接的任何其他數據。
HTTP/2 快速重置邏輯概述
供應商制定緩解措施
Cloudflare解釋說,HTTP/2代理或負載均衡器特別容易受到快速發送的長串重置請求的影響。該公司的網絡在TLS代理與其上游代理之間的點上不堪重負,因此在錯誤請求到達阻塞點之前就已經造成了損害。
就現實的影響而言,這些攻擊已導致Cloudflare客戶端中502個錯誤報告的增加。Cloudflare表示,它最終使用一個名為“IP監獄”的系統來處理超容量攻擊,從而緩解了這些攻擊,該公司將這一系統覆蓋其整個基礎設施。該系統“監禁”違規IP,并在一段時間內禁止他們在任何Cloudflare域中使用HTTP/2,同時影響共享被監禁IP的合法用戶,性能略有下降。
亞馬遜表示,它減輕了數十起此類攻擊,但沒有提供有關其影響的任何細節,并強調其客戶服務的可用性得到了維護。
亞馬遜在2023年9月緩解的攻擊
這三家公司都得出結論,客戶應對HTTP/2快速重置攻擊的最佳方法是使用所有可用的HTTP防洪工具,并通過多方面的緩解措施增強其DDoS抵御能力。
不幸的是,由于這種策略濫用HTTP/2協議,因此沒有完全阻止攻擊者使用這種DDoS技術的通用解決方案。相反,在軟件中使用該協議的軟件開發人員正在實施速率控制,以減輕HTTP/2快速重置攻擊。
在另一篇帖子中,Cloudflare解釋說,他們必須將零日機密保密一個多月,以便安全供應商和利益相關者有時間對威脅做出反應,然后才能讓更多威脅參與者知道“貓捉老鼠”游戲開始。
Cloudflare解釋道:“直到今天,我們一直對信息進行限制,以便讓盡可能多的安全供應商有機會做出反應。”
FreeBuf
安全牛
看雪學苑
嘶吼專業版
全球網絡安全資訊
一顆小胡椒
嘶吼專業版
CNCERT國家工程研究中心
007bug
007bug
綠盟科技
