Amazon Web Services (AWS), Cloudflare và Google hôm thứ Ba cho biết họ đã thực hiện các bước để giảm thiểu các cuộc tấn công từ chối dịch vụ phân tán (DDoS) phá kỷ lục dựa trên một kỹ thuật mới có tên HTTP/2 Rapid Reset.
Các cuộc tấn công lớp 7 được phát hiện vào cuối tháng 8 năm 2023, các công ty cho biết trong một tiết lộ phối hợp. Mức độ nhạy cảm tích lũy đối với cuộc tấn công này đang được theo dõi là CVE-2023-44487 và có điểm CVSS là 7,5/tối đa là 10.
Trong khi các cuộc tấn công nhằm vào cơ sở hạ tầng đám mây của Google đạt đỉnh điểm là 398 triệu yêu cầu mỗi giây (RPS), thì các cuộc tấn công nhằm vào AWS và Cloudflare lần lượt vượt quá khối lượng 155 triệu và 201 triệu RPS.
HTTP/2 Rapid Reset đề cập đến lỗ hổng zero-day trong giao thức HTTP/2 có thể bị khai thác để thực hiện các cuộc tấn công DDoS. Một tính năng quan trọng của HTTP/2 là ghép các yêu cầu qua một kết nối TCP duy nhất, biểu hiện dưới dạng các luồng đồng thời.
Hơn nữa, khách hàng muốn hủy yêu cầu có thể đưa ra khung RST_STREAM để tạm dừng trao đổi dữ liệu. Cuộc tấn công Đặt lại nhanh tận dụng phương pháp này để gửi và hủy các yêu cầu liên tiếp nhanh chóng, từ đó phá vỡ mức tối đa luồng đồng thời của máy chủ và làm quá tải máy chủ mà không đạt đến ngưỡng được định cấu hình.
Mark Ryland và Tom Scholl tại AWS cho biết : “Các cuộc tấn công đặt lại nhanh HTTP/2 bao gồm nhiều kết nối HTTP/2 với các yêu cầu và đặt lại liên tiếp nhanh chóng” .
"Ví dụ: một loạt yêu cầu cho nhiều luồng sẽ được truyền đi, sau đó là đặt lại cho từng yêu cầu đó. Hệ thống được nhắm mục tiêu sẽ phân tích cú pháp và hành động theo từng yêu cầu, tạo nhật ký cho yêu cầu sau đó được đặt lại hoặc hủy bằng cách một khách hàng."
Khả năng đặt lại luồng ngay lập tức này cho phép mỗi kết nối có số lượng yêu cầu không xác định trong chuyến bay, do đó cho phép tác nhân đe dọa đưa ra một loạt các yêu cầu HTTP/2 có thể áp đảo khả năng đáp ứng các yêu cầu mới đến của trang web được nhắm mục tiêu, chiếm lấy nó một cách hiệu quả. xuống.
Nói cách khác, bằng cách bắt đầu hàng trăm nghìn luồng HTTP/2 và nhanh chóng hủy chúng trên quy mô lớn trên một kết nối đã được thiết lập, các tác nhân đe dọa có thể áp đảo các trang web và khiến chúng ngoại tuyến. Một khía cạnh quan trọng khác là các cuộc tấn công như vậy có thể được thực hiện bằng cách sử dụng một mạng botnet có kích thước khiêm tốn, tương đương với 20.000 máy theo quan sát của Cloudflare.
Grant Bourzikas, giám đốc an ninh của Cloudflare, cho biết: “Ngày 0 này đã cung cấp cho những kẻ đe dọa một công cụ mới quan trọng trong con dao dễ bị tổn thương của Quân đội Thụy Sĩ để khai thác và tấn công nạn nhân của chúng ở mức độ chưa từng thấy trước đây” .
Theo W3Techs , HTTP/2 được sử dụng bởi 35,6% tổng số trang web . Tỷ lệ yêu cầu sử dụng HTTP/2 là 77% trên mỗi dữ liệu được chia sẻ bởi Web Almanac .
Google Cloud cho biết họ đã quan sát thấy nhiều biến thể của cuộc tấn công Rapid Reset mặc dù không hiệu quả như phiên bản ban đầu nhưng hiệu quả hơn các cuộc tấn công DDoS HTTP/2 tiêu chuẩn.
Juho Snellman và Daniele Lamartino cho biết : “Biến thể đầu tiên không hủy ngay lập tức các luồng mà thay vào đó mở một loạt luồng cùng một lúc, đợi một thời gian rồi hủy các luồng đó rồi ngay lập tức mở một loạt luồng lớn mới khác” .
"Biến thể thứ hai loại bỏ hoàn toàn việc hủy luồng mà thay vào đó cố gắng mở nhiều luồng đồng thời hơn so với quảng cáo của máy chủ."
F5, trong một tư vấn độc lập của riêng mình, cho biết cuộc tấn công ảnh hưởng đến mô-đun NGINX HTTP/2 và đã kêu gọi khách hàng cập nhật cấu hình NGINX của họ để giới hạn số lượng luồng đồng thời ở mức mặc định là 128 và duy trì kết nối HTTP lên tới 1000 yêu cầu.
Bourzikas cho biết thêm: “Sau ngày hôm nay, các tác nhân đe dọa phần lớn sẽ nhận thức được lỗ hổng HTTP/2; và việc khai thác và khởi động cuộc chạy đua giữa người bảo vệ và kẻ tấn công chắc chắn sẽ trở nên tầm thường. “Các tổ chức nên cho rằng hệ thống sẽ được kiểm tra và thực hiện các biện pháp chủ động để đảm bảo bảo vệ.”
Dịch Vụ Cho Thuê Tấn Công Ddos : Tại Đây