Новости Новый метод DDoS-атаки «HTTP/2 Rapid Reset» бьёт рекорды интенсивности

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
55.044
Репутация
62.840
Реакции
277.292
RUB
0
Даже относительно небольшие ботнеты теперь могут устроить настоящий хаос.

Новая технология DDoS-атак под названием «HTTP/2 Rapid Reset» активно используется в качестве zero-day атаки с августа этого года, побив все предыдущие рекорды по масштабам.

Новости о Rapid Reset появились сегодня в результате выхода скоординированных отчётов у AWS , Cloudflare и Google , которые сообщают о смягчении атак, достигающих 155 миллионов запросов в секунду по данным Amazon, 201 миллион запросов по данным Cloudflare и 398 миллионов запросов в секунду по данным Google.

Примечательно, что для достижения такой мощности использовалась сравнительно небольшая ботнет-сеть из 20 тысяч машин. А ведь существуют ботнеты из сотен тысяч и даже миллионов устройств. Что будет, если они начнут использовать Rapid Reset в своих атаках?

Как бы то ни было, специалисты Cloudflare рапортуют, что с августа этого года зафиксировали уже более тысячи разных DDoS-атак с использованием метода «HTTP/2 Rapid Reset».

Этот новый метод эксплуатирует zero-day уязвимость, отслеживаемую как CVE-2023-44487 . Он злоупотребляет недостатком протокола HTTP/2, используя функцию отмены потока для беспрерывной отправки и отмены запросов, что моментально приводит к перегрузке целевого сервера.

В HTTP/2 предусмотрена защита в виде параметра, который ограничивает количество одновременно активных потоков для предотвращения DoS-атак, однако это не всегда эффективно.

Google пояснил: «Протокол не требует от клиента и сервера координировать отмену, клиент может сделать это самостоятельно». Отсюда и такой массированный поток запросов — задержек для злонамеренной эксплуатации целевого сервера почти нет.

Cloudflare сообщает, что HTTP/2 прокси и балансировщики нагрузки особенно уязвимы для таких атак. По наблюдениям компании, эти продолжающиеся атаки привели к увеличению ошибок 502 (Bad Gateway) среди клиентов Cloudflare.

Для отражения атак Cloudflare использовал систему «IP Jail», которая блокирует вредоносные IP-адреса, ограничивая их доступ к HTTP/2 для всех доменов Cloudflare на определённое время. Amazon также успешно противостояла десяткам подобных цифровых нападений, подчёркивая, что сервисы компании оставались доступными во время атак.

Для противодействия атакам HTTP/2 Rapid Reset все три компании рекомендуют своим клиентам использовать все доступные инструменты защиты от HTTP-атак и усиливать свою устойчивость к DDoS разнообразными методами.

Cloudflare в отдельном сообщении указал, что умалчивание об этой уязвимости продолжалось более месяца, чтобы дать поставщикам систем безопасности как можно больше времени на реагирование.

«Сегодня наступил тот день, когда необходимо раскрыть информацию об этой угрозе» — заключили в Cloudflare.






 

Google отразила самую мощную DDoS-атаку в истории — почти 400 млн запросов в секунду.



Google об успешно отражённой в минувшем августе самой мощной DDoS-атаке в истории — её интенсивность составила 398 млн запросов в секунду, что в 7,5 раза мощнее антирекорда, установленного в прошлом году. В рамках вредоносной кампании были также отмечены новые методы взлома сайтов и сервисов.

 Источник изображений: cloud.google.com


В новой серии DDoS-атак использовалась новая техника Rapid Reset, основанная на мультиплексировании потоков — важнейшей функции протокола HTTP/2.

Интенсивность атаки достигала значения в 398 млн запросов в секунду, тогда как составлял «всего» 46 млн запросов в секунду. Для сравнения, в течение этой двухминутной атаки генерировалось больше запросов, чем было прочитано статей «Википедии» за весь сентябрь 2023 года.



Последняя волна атак началась в конце августа и продолжается по сей день — она нацелена на крупнейших поставщиков инфраструктурных ресурсов, включая сервисы Google, сеть Google Cloud и клиентов Google.

Компании удалось сохранить работоспособность сервисов за счёт глобальной инфраструктуры распределения нагрузки. Google скоординировала усилия с отраслевыми партнёрами, что помогло установить механизмы атак и совместными усилиями разработать меры по смягчению последствий.

В ходе отражения атаки была выявлена уязвимость протокола HTTP/2, которой присвоили номер CVE-2023-44487 с рейтингом 7,5 балла из 10 — эта уязвимость помогла злоумышленникам реализовать технику Rapid Reset. Чтобы ограничить влияние этого вектора атаки, Google рекомендует администраторам серверов с поддержкой протокола HTTP/2 убедиться, что были установлены патчи, закрывающие уязвимость CVE-2023-44487.

 
Сверху Снизу