- Google, saniyede 398 milyon isteğin geldiği tarihin en büyük ölçekli DDoS saldırısını karşıladı.
- Saldırının sürdüğü 2 dakika boyunca oluşan istek sayısı, Wikipedia'nın 1 aylık trafiğinden fazlaydı.
- Bu saldırı, HTTP/2'deki yeni bir açık olan Rapid Reset nedeniyle gerçekleşti.
- HTTP/2'nin çalışma biçimine göre stream multiplexing ve istek iptali özelliği kullanılıyor.
- Tek bir istemci, ağ bant genişliğinin izin verdiği ölçüde sınırsız sayıda istek oluşturabiliyor.
- Normalde 7. katman DoS saldırıları, RTT ve eşzamanlı bağlantı sayısına bağlı olduğundan tek bir istemcinin çok sayıda istek üretmesi sınırlıdır.
- Ancak bu yöntem, isteği oluşturduktan hemen sonra iptal etme süreci sayesinde çok hızlı şekilde istek üretmeyi mümkün kılıyor.
- Daha önce görülen rekor ölçekli DDoS saldırılarından farklı olarak, az sayıda cihazla etkili saldırı yapılabiliyor.
- Bu açık CVE-2023-44487 altında doğrulanabiliyor ve CVSS puanı 7.5 ile ciddi seviyede.
- Diğer sağlayıcılardan Cloudflare ve AWS de sırasıyla 201 milyon RPS ve 155 milyon RPS düzeyinde DDoS saldırıları aldı.
- Cloudflare, saldırının yaklaşık 20 bin cihazlık bir botnet tarafından gerçekleştirildiğini açıkladı.
- Daha önceki dev ölçekli DDoS saldırıları ise on binlerce ila milyonlarca bottan oluşan botnet'lerle yapılıyordu.
- Nginx, Caddy gibi web sunucuları hızla yama yayımlıyor.
1 yorum
Saniyede neredeyse 400 milyon istek... gerçekten dehşet verici.
Bu, HTTP/2 uygulamalarındaki bir açıktı ama bunu hafifleten Google, Cloudflare, AWS ve diğerleri de gerçekten etkileyici.
Bence en ilginç nokta, HAProxy'nin bu sorunu 2018'de çözmüş olması.
O zaman bu açığı tanımlayıp düzeltmiş değillerdi ama sonradan tekrar bakıldığında, 2018'de gündeme getirilen meselenin bu açığı çözme fikri olduğu söyleniyor.
Her halükarda, web sunucusu kullananların bu açığın giderildiği sürüme güncelleme yapmasını tavsiye ederim.