การโจมตี DDoS แบบ 'Rapid Reset' ใหม่บน HTTP/2

 (cloud.google.com)
1 คะแนน โดย GN⁺ 2023-10-11 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ในเดือนสิงหาคม 2023 บริการของ Google และลูกค้า Cloud ตกเป็นเป้าหมายของการโจมตี DDoS แบบใหม่ที่อาศัย HTTP/2 ซึ่งมีขนาดใหญ่กว่าการโจมตี Layer 7 ที่เคยมีรายงานก่อนหน้านี้อย่างมาก
  • การโจมตีที่ใหญ่ที่สุดมีคำขอเกิน 398 ล้านครั้งต่อวินาที แต่ส่วนใหญ่ถูกสกัดกั้นที่ขอบเครือข่ายโดยโครงสร้างพื้นฐาน global load balancing ของ Google
  • ทีมตอบสนอง DDoS ของ Google ได้ตรวจสอบการโจมตีและดำเนินมาตรการป้องกันเพิ่มเติมเพื่อลดผลกระทบจากการโจมตีลักษณะคล้ายกันให้มากขึ้น
  • นับตั้งแต่ปลายปี 2021 การโจมตี DDoS แบบ Layer 7 ส่วนใหญ่ที่สังเกตพบในบริการของ Google และโปรเจ็กต์ Google Cloud มีพื้นฐานมาจาก HTTP/2
  • HTTP/2 ใช้ "สตรีม" เพื่อส่งข้อความหรือ "เฟรม" หลากหลายประเภทระหว่างเอนด์พอยต์ ซึ่งอาจถูกนำไปใช้เพื่อทำให้การโจมตี DDoS มีประสิทธิภาพมากขึ้น
  • การโจมตี HTTP/2 Rapid Reset เกี่ยวข้องกับการที่ไคลเอนต์เปิดสตรีมจำนวนมากพร้อมกัน แล้วแทนที่จะรอการตอบกลับสำหรับสตรีมคำขอแต่ละรายการจากเซิร์ฟเวอร์หรือพร็อกซี ก็ยกเลิกแต่ละคำขอทันที
  • การโจมตีนี้สร้างความไม่สมดุลด้านต้นทุนที่ใช้ประโยชน์ได้ระหว่างเซิร์ฟเวอร์กับไคลเอนต์ โดยเซิร์ฟเวอร์ยังคงต้องทำงานจำนวนมากต่อไปสำหรับคำขอที่ถูกยกเลิกแล้ว
  • มีการสังเกตพบรูปแบบดัดแปลงของการโจมตี Rapid Reset ซึ่งโดยทั่วไปมักไม่มีประสิทธิภาพเท่ารุ่นแรกเริ่ม แต่ยังอาจมีประสิทธิภาพมากกว่าการโจมตี DDoS มาตรฐานบน HTTP/2
  • มาตรการบรรเทาสำหรับเวกเตอร์การโจมตีนี้อาจมีได้หลายรูปแบบ แต่โดยหลักจะเน้นไปที่การติดตามสถิติของการเชื่อมต่อ และใช้สัญญาณหลากหลายร่วมกับตรรกะทางธุรกิจเพื่อประเมินประโยชน์ของแต่ละการเชื่อมต่อ
  • ปัจจุบัน Google ยังไม่พบว่า HTTP/3 ถูกใช้เป็นเวกเตอร์ DDoS ขนาดใหญ่ แต่แนะนำให้การติดตั้งใช้งานเซิร์ฟเวอร์ HTTP/3 เตรียมกลไกที่จำกัดปริมาณงานที่เกิดจากการเชื่อมต่อขนส่งเดี่ยวไว้ล่วงหน้า
  • Google ได้ช่วยนำกระบวนการเปิดเผยช่องโหว่แบบประสานงานเพื่อแก้ไขเวกเตอร์ HTTP/2 ใหม่นี้ทั่วทั้งอีโคซิสเต็ม
  • ผู้ให้บริการทุกรายที่ให้บริการ HTTP/2 ควรประเมินการเปิดรับความเสี่ยงต่อปัญหานี้ และติดตั้งแพตช์ซอฟต์แวร์กับอัปเดตสำหรับเว็บเซิร์ฟเวอร์ทั่วไปและภาษาโปรแกรมต่าง ๆ ให้เร็วที่สุด

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-10-11
ความคิดเห็นจาก Hacker News
  • บทความเกี่ยวกับการโจมตี DDoS รูปแบบใหม่ที่เรียกว่า 'Rapid Reset'
  • มีการพูดคุยต่อเนื่องเกี่ยวกับการโจมตี DDoS ที่ใหญ่ที่สุดเท่าที่เคยมีมา และช่องโหว่ Zero-Day ของ HTTP/2
  • ข้อเท็จจริงที่ว่าทีม haproxy เคยระบุและบรรเทาปัญหาที่คล้ายกันซึ่งเกี่ยวข้องกับ HTTP/2 ตั้งแต่ปี 2018
  • ผู้ใช้บางส่วนวิจารณ์ว่า Google เป็นผู้สร้าง HTTP/2 และนำเสนอตัวเองเป็นผู้กอบกู้จากปัญหาที่ตนเองสร้างขึ้น
  • วิธีที่การโจมตีนี้อาศัยความไม่สมดุลของต้นทุนในการทำงานของการติดตั้งใช้งานเซิร์ฟเวอร์ HTTP/2
  • ผู้ใช้บางส่วนประหลาดใจที่ช่องโหว่นี้ไม่ได้ถูกคาดการณ์ไว้ในกระบวนการออกแบบ HTTP/2 เมื่อพิจารณาว่าการโจมตีแบบขยายขนาดในโปรโตคอลอื่นเป็นสิ่งที่รู้จักกันอยู่แล้ว
  • มุมมองที่ว่าการโจมตีนี้เป็นผลลัพธ์จากความจำเป็นของ HTTP/2 ในการส่งโฆษณา ตัวติดตาม และเฟรมเวิร์กฟรอนต์เอนด์ขนาดใหญ่ให้ได้เร็วขึ้น
  • เมื่อพิจารณาว่ารูปแบบการโจมตีนี้เพิ่งปรากฏหลังจาก HTTP/2 มีอยู่มา 10 ปี ผู้ใช้บางส่วนจึงกังวลเกี่ยวกับช่องโหว่ที่อาจมีใน HTTP/3 และ QUIC
  • Microsoft เผยแพร่รายละเอียดแพตช์สำหรับช่องโหว่นี้
  • ผู้ใช้บางส่วนพบว่าส่วนหัวของบล็อกเด้งค้างอยู่ตลอด ทำให้อ่านหน้าเว็บไม่ได้
  • มีการขอคำอธิบายว่าอะไรคือความใหม่ของการโจมตีนี้ เมื่อมันไม่ใช่เพียงการถล่มด้วยคำขอแบบธรรมดา