Novo ataque DDoS HTTP/2 "Rapid Reset"

 (cloud.google.com)
1 pontos por GN⁺ 2023-10-11 | 1 comentários | Compartilhar no WhatsApp
  • Em agosto de 2023, serviços do Google e clientes da Cloud foram alvo de um novo ataque DDoS baseado em HTTP/2, muito maior do que ataques de camada 7 relatados anteriormente.
  • O maior ataque ultrapassou 398 milhões de requisições por segundo, mas a maior parte foi bloqueada na borda da rede pela infraestrutura global de balanceamento de carga do Google.
  • A equipe de resposta a DDoS do Google analisou o ataque e adotou medidas adicionais de proteção para mitigar melhor ataques semelhantes.
  • Desde o fim de 2021, a maioria dos ataques DDoS de camada 7 observados em serviços do Google e projetos do Google Cloud foi baseada em HTTP/2.
  • O HTTP/2 usa "streams" para transmitir várias mensagens ou "frames" entre endpoints, e isso pode ser usado para tornar ataques DDoS mais eficientes.
  • O ataque HTTP/2 Rapid Reset envolve um cliente abrindo um grande número de streams de uma vez e, em vez de esperar a resposta do servidor ou proxy para cada stream de requisição, cancelando imediatamente cada requisição.
  • Esse ataque cria uma assimetria de custos explorável entre servidor e cliente, já que o servidor precisa continuar realizando um trabalho significativo para requisições canceladas.
  • Foram observadas variantes do ataque Rapid Reset, que geralmente não são tão eficientes quanto a versão inicial, mas ainda podem ser mais eficientes do que ataques DDoS HTTP/2 padrão.
  • As medidas de mitigação para esse vetor de ataque podem assumir várias formas, mas se concentram principalmente em rastrear estatísticas de conexão e usar diversos sinais e lógica de negócio para determinar a utilidade de cada conexão.
  • No momento, o Google não vê o HTTP/3 sendo usado como vetor de DDoS em larga escala, mas recomenda que implementações de servidor HTTP/3 adotem previamente mecanismos para limitar a quantidade de trabalho realizada por uma única conexão de transporte.
  • O Google ajudou ativamente a liderar um processo coordenado de divulgação de vulnerabilidade para resolver esse novo vetor de HTTP/2 em todo o ecossistema.
  • Todos os provedores que oferecem serviços HTTP/2 devem avaliar sua exposição a esse problema e aplicar o mais rápido possível patches de software e atualizações para servidores web comuns e linguagens de programação.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-10-11
Comentários do Hacker News
  • Artigo sobre um novo tipo de ataque DDoS chamado 'Rapid Reset'
  • Discussão contínua sobre o maior ataque DDoS até agora e a vulnerabilidade Zero-Day no HTTP/2
  • O fato de que, em 2018, a equipe do haproxy identificou e mitigou um problema semelhante relacionado ao HTTP/2
  • Alguns usuários criticam o Google por ter criado o HTTP/2 e depois se apresentar como salvador de um problema que eles mesmos criaram
  • A forma como o ataque explora a assimetria de custo nas implementações de servidor HTTP/2
  • A surpresa de alguns usuários pelo fato de essa vulnerabilidade não ter sido prevista no processo de design do HTTP/2, considerando ataques de amplificação já conhecidos em outros protocolos
  • A visão de que esse ataque é resultado da necessidade do HTTP/2 de entregar mais rapidamente anúncios, rastreadores e frameworks de frontend pesados
  • Considerando que esse tipo de ataque apareceu 10 anos após a existência do HTTP/2, a preocupação de alguns usuários com vulnerabilidades potenciais no HTTP/3 e no QUIC
  • A Microsoft publicou detalhes do patch para essa vulnerabilidade
  • Alguns usuários perceberam que o cabeçalho do blog continuava aparecendo e tornava impossível ler a página
  • Pedido de explicação sobre o que há de novo nesse ataque, além de ser apenas um simples flood de requisições