Před pár dny to přinesla zpráva Google zaznamenal největší DDoS útok na svou infrastrukturu, jehož intenzita byla 398 milionů RPS (požadavek za sekundu). Útoky byly provedeny pomocí dříve neznámé zranitelnosti (CVE-2023-44487) v protokolu HTTP/2, který umožňuje odesílání velkého proudu požadavků na server s minimální zátěží klienta.
Je to zmíněno nová technika útoku zvaná "Rapid Reset" Využívá toho, že prostředky multiplexování komunikačních kanálů poskytované v HTTP/2 umožňují tvořit tok požadavků v rámci již vytvořeného spojení, bez otevírání nových síťových spojení a bez čekání na potvrzení příjmu paketů.
Zranitelnost Je považováno za důsledek selhání protokolu HTTP/2 , jehož specifikace uvádí, že pokud se pokusíte otevřít příliš mnoho toků, měly by být zrušeny pouze toky, které překračují limit, ale ne celá síť.
Vzhledem k tomu, že útok na straně klienta slze provést pouhým odesláním požadavků bez obdržení odpovědí, Útok lze provést s minimální režií. Například útok 201 milionů požadavků za sekundu zaznamenaný Cloudflare byl proveden pomocí relativně malého botnetu 20 tisíc počítačů.
Na straně serveru jsou náklady na zpracování příchozích požadavků výrazně vyšší, navzdory jeho zrušení, protože je nutné provést operace, jako je alokace datových struktur pro nová vlákna, analýza požadavku, dekomprimace hlavičky a přiřazení URL ke zdroji. Při útoku na reverzní proxy se útok může rozšířit na servery, protože proxy může mít čas na přesměrování požadavku na server před zpracováním rámce RST_STREAM.
Útok lze provést pouze na zranitelné servery, které podporují HTTP/2 (skript pro kontrolu projevů zranitelnosti na serverech, nástroje k provedení útoku). U HTTP/3 nebyly útoky dosud detekovány a možnost jejich výskytu nebyla plně analyzována, ale zástupci společnosti Google doporučují, aby vývojáři serverů přidali bezpečnostní opatření do implementací HTTP/3 podobná těm, která jsou implementována k blokování útoků na HTTP/2.
Podobně jako metody útoku dříve používané v HTTP/2, nový útok také vytváří velké množství vláken v rámci jednoho připojení. Klíčový rozdíl nového útoku spočívá v tom, že místo čekání na odpověď je za každou odeslanou žádostí následován rámcem s příznakem RST_STREAM, který požadavek okamžitě zruší.
Zrušení požadavku v rané fázi vám umožní zbavit se zpětného provozu ke klientovi a vyhnout se omezením maximálního možného počtu streamů, které se otevírají současně v rámci jednoho připojení HTTP/2 na serverech HTTP. V novém útoku tedy objem požadavků odeslaných na HTTP server již nezávisí na prodlevách mezi odesláním požadavku a přijetím odpovědi (RTT, round trip time) a závisí pouze na šířce pásma serveru.
Je to zmíněno Poslední vlna útoků začala koncem srpna a pokračuje dodnes. Zaměřuje se na hlavní poskytovatele infrastruktury, včetně služeb Google, Google Cloud Infrastructure, a jejich zákazníky.
Přestože tyto útoky patřily k největším, jaké kdy Google viděl, její globální vyrovnávání zátěže a infrastruktura pro zmírňování DDoS umožnily pokračování provozu jejích služeb.
Aby ochránili Google, jeho zákazníky a zbytek internetu, pomohli vést koordinované úsilí s průmyslovými partnery s cílem porozumět mechanismu útoku a spolupracovat na zmírňujících opatřeních, která lze v reakci na tyto útoky implementovat.
Kromě Googlu Útokům s intenzitou 155 a 201 milionů RPS čelily také Amazon a Cloudflare. Nové útoky výrazně převyšují intenzitu předchozího rekordního DDoS útoku, kdy se útočníkům podařilo vygenerovat tok 47 milionů požadavků za sekundu. Pro srovnání, veškerý provoz na celém webu se odhaduje na 1.000 miliardu až 3.000 miliardy požadavků za sekundu.
A konečně, pokud máte zájem dozvědět se o tom více, můžete se podívat na podrobnosti v následující odkaz.