Tarihin en büyük DDoS saldırısı saniyede 398 milyon rps zirvesine ulaştı
(cloud.google.com)- DDoS saldırılarının ölçeği hızla büyürken Google, Ağustos 2023'te zirvede 398 milyon rps seviyesine ulaşan bir saldırıyı etkisiz hale getirdi; bu, bir önceki yılın 46 milyon rps'lik rekorundan 7,5 kat daha büyüktü
- Saldırganlar, HTTP/2'nin akış çoklama özelliğini kötüye kullanan Rapid Reset tekniğini kullandı ve birçok internet altyapısı şirketi etkilendi
- Saldırı dalgası Ağustos 2023'ün sonunda başladı ve Eylül boyunca sürdü; Google hizmetleri, Google Cloud altyapısı ve müşteriler dahil başlıca altyapı sağlayıcıları hedef alındı
- Google, saldırıyı ağ edge katmanında emip savunma sistemlerini güncelledi; Application Load Balancer ve Cloud Armor müşterileri de aynı temeldeki korumadan yararlandı
- HTTP/2'yi destekleyen sunucu, proxy, uygulama sunucusu ve yük dengeleyiciler CVE-2023-44487'den etkilenebilir; bu yüzden zafiyet kontrolü ve üretici yamalarının uygulanması gerekiyor
Saldırının ölçeği ve Rapid Reset tekniği
- Google'ın DDoS Response Team'i, son birkaç yılda DDoS saldırılarının ölçeğinin katlanarak büyüdüğünü doğruladı
- Ağustos 2023'te engellenen saldırı, önceki yılın en büyük kaydından 7,5 kat daha büyüktü
- Zirvede 398 milyon requests per second (rps) seviyesine ulaştı
- 2022'de kaydedilen en büyük DDoS saldırısı 46 milyon rps idi
- İki dakika süren bu saldırı, Wikipedia'nın Eylül 2023 boyunca bildirdiği toplam makale görüntüleme sayısından daha fazla istek üretti
- Temel teknik, HTTP/2'nin akış çoklama özelliğinden yararlanan yeni HTTP/2 Rapid Reset yöntemiydi
Hedefler ve hizmetlere etkisi
- Son saldırı dalgası Ağustos 2023'ün sonunda başladı ve Eylül boyunca gözlemlenmeye devam etti
- Hedefler arasında büyük altyapı sağlayıcıları da vardı
- Google hizmetleri
- Google Cloud altyapısı
- Google müşterileri
- Google, küresel yük dengeleme ve DDoS azaltma altyapısı sayesinde hizmetleri çalışır durumda tutmayı başardı
- Sektör ortaklarıyla iş birliği içinde saldırı mekanizmasını analiz etti ve Google'ı, müşterilerini ve genel olarak interneti korumaya yönelik azaltma adımlarını koordine etti
Google'ın azaltma yöntemi ve Cloud müşterilerinin korunması
- İnceleme sonucunda saldırının, yaygın kullanılan HTTP/2 protokolünün akış çoklama özelliğini kullanan Rapid Reset tekniğine dayandığı görüldü
- Google saldırıyı ağ edge katmanında azalttı
- Edge kapasitesine yaptığı yatırımlar sayesinde Google hizmetleri ile müşteri hizmetlerinin büyük ölçüde etkilenmemesini sağladı
- Saldırı yöntemini daha ayrıntılı analiz ettikten sonra azaltma önlemleri geliştirdi
- Proxy ve hizmet reddi savunma sistemlerini güncelleyerek bu tekniği verimli şekilde sınırladı
- Google Cloud'un Application Load Balancer ve Cloud Armor hizmetleri, Google'ın kendi internete açık hizmetlerini sunarken kullandığı aynı donanım ve yazılım altyapısını kullanır
- Bu hizmetleri kullanan Cloud müşterilerinin internete açık web uygulamaları ve servisleri de benzer koruma alır
CVE-2023-44487 ve sektör genelinde ortak müdahale
- Google, Ağustos ayındaki ilk saldırıları tespit ettikten hemen sonra ek azaltma stratejileri uyguladı ve HTTP/2 protokol yığınını kullanan bulut sağlayıcıları ile yazılım bakım ekipleri arasında sektör çapında ortak müdahaleyi koordine etti
- Saldırı sürerken saldırıya ilişkin bilgiler ve azaltma yöntemleri gerçek zamanlı paylaşıldı
- Bu iş birliği, birçok büyük altyapı sağlayıcısının kullandığı yamalara ve azaltma tekniklerine dönüştü
- Yeni saldırı yöntemi ile çeşitli yaygın açık kaynaklı ve ticari proxy, uygulama sunucusu ve yük dengeleyicilerdeki potansiyel zafiyetler koordineli sorumlu açıklama kapsamında duyuruldu
- Bu saldırıya yönelik toplu zafiyet CVE-2023-44487 olarak izleniyor
- Önem derecesi High
- CVSS puanı 7.5/10
Etkilenebilecek sistemler ve gerekli önlemler
- İnternete HTTP tabanlı iş yükleri sunan şirketler veya bireyler bu saldırının riskine maruz kalabilir
- HTTP/2 üzerinden iletişim kurabilen sunucu ya da proxy üzerindeki web uygulamaları, servisler ve API'ler savunmasız olabilir
- Kurumlar, HTTP/2'yi destekleyen sunucularının savunmasız olup olmadığını doğrulamalı
- Kendi HTTP/2 destekli sunucularınızı işletiyor veya yönetiyorsanız, açık kaynak ya da ticari fark etmeksizin ilgili üretici yamalarını sunulur sunulmaz uygulamalısınız
- CVE-2023-44487 için yayınlanan üretici yamaları, bu saldırı vektörünün etkisini sınırlamaya yönelik önlemlerdir
Google Cloud ortamı için savunma önerileri
- Büyük ölçekli DDoS saldırılarına karşı savunma zordur ve yama uygulanmış olsa bile orta ölçekli ya da daha büyük saldırılarda hizmeti ayakta tutmak için ciddi altyapı yatırımı gerekir
- Google Cloud üzerinde hizmet veren kurumlar, Cross-Cloud Network'ün küresel ölçekli kapasite yatırımlarından yararlanarak uygulamalarını sunabilir ve koruyabilir
- Hizmetlerini global veya bölgesel Application Load Balancer ile internete açan Google Cloud müşterileri, Cloud Armor always-on DDoS protection korumasından yararlanır
- CVE-2023-44487 gibi zafiyetleri kullanan saldırılar hızla azaltılır
- Cloud Armor always-on DDoS protection, Google ağ edge'inde saniyede yüz milyonlarca isteğin büyük bölümünü emebilse de saniyede milyonlarca istenmeyen istek yine de geçebilir
- Layer 7 saldırılarına karşı Cloud Armor custom security policies, proaktif rate limiting kuralları ve yapay zeka tabanlı Adaptive Protection kullanımının devreye alınması önerilir
- Mevcut DDoS saldırı dalgasına dair teknik ayrıntılar HTTP/2 Rapid Reset DDoS saldırısı analizi yazısında bulunabilir
1 yorum
Hacker News yorumları
The novel HTTP/2 'Rapid Reset' DDoS attack - https://news.ycombinator.com/item?id=37830987
HTTP/2 Zero-Day Vulnerability Results in Record-Breaking DDoS Attacks - https://news.ycombinator.com/item?id=37830998
Yine de sonuç birkaç saat boyunca ABD teknoloji şirketlerini ve müşterilerini rahatsız etmekten ibaretse, bunun neden sürekli yaşandığını pek anlayamıyorum.
Bu itibarla, rakiplerine saldırmak isteyen daha az temiz müşterilerden para alıyorlar; o müşteri bazen bir devlet, bazen de şüpheli bir şirket olabiliyor. Geçen yıl kripto para şirketlerinin birbirlerinin web sitelerine saldırdığı çok olay oldu.
Bu işleri yapan kişiler teknik olarak çok yetenekli, ama yaşadıkları yer ya da yetiştikleri ortam nedeniyle bu becerilerle para kazanma fırsatları genelde az oluyor.
İleri seviye saldırganlar ise kapasiteyi ve tepkileri test ediyordur. Taliban geçmişte üslerin dışında çocuklara havai fişek patlatmaları için para vererek savunma taktiklerini, tekniklerini ve prosedürlerini gözlemlemişti; ayrıca insanları silah sesine duyarsızlaştırma etkisi de vardı.
Gerçekten iyi bir düşman, ikincisini yaparken birincisi gibi görünmeyi bilir.
Mirai botnetinde ise geliştiricilerin bazıları aynı zamanda DDoS hafifletme şirketi de işletiyordu. Bir tarafa silahı, diğer tarafa da o silaha karşı savunmayı satıyorlardı.
Motivasyon bazen itibar, şaka yapmak ya da botnet oluşturmanın kendi başına bir meydan okuma olması da olabiliyor.
İster internet altyapısı ölçeğinde olsun ister belirli bir şirketi hedeflesin, bu tür saldırılara karışmış birinin geçici hesap açıp motivasyonunu anlatacak kadar cesur ya da deli olup olmadığını merak ediyorum.
Amaçları hedef siteyi yavaşlatmak değildi; gerçek ücretli müşterinin sunucu maliyetlerini karşılayamayacağı bir hızda veri çekmeye çalışıyorlardı.
Bu tür saldırılar gerçek DDoS saldırılarından farklı, ama deneyimime göre çok daha yaygın; Cloudflare ya da Akamai gibi çözümlerle nispeten kolay hafifletilebildiği için müşterilere genelde bunu öneriyorum.
Cloudflare, Google ve AWS ekipleri gerçek zamanlı bir görüntülü toplantıya girip birlikte koordinasyon yaparak mı hafifletiyor, yoksa herkes uzaktan diğerlerinde neler olduğunu izleyip kendi sorununu çözmeye mi odaklanıyor?
Bu sefer herkesin aynı şeyi gördüğünü fark ettiler; küçük hedefler için etkisi çok büyük olabileceğinden sorunu birlikte anlamaya çalışıp tüm web sunucusu sağlayıcılarıyla güvenlik müdahalesini koordine ettiler.
Birkaç Gb/s’lik saldırıyı kaldıracak kadar büyük giriş bant genişliği sağlayıp meşru trafik için de yedek kapasite bırakmaktan mı ibaret, merak ediyorum.
DDoS trafiğinin büyük bölümü gerçek HTTP değil; IP adreslerine doğru hattı dolduran çöp trafiktir. Daha büyük hatlar ve coğrafi olarak dağıtılmış birden fazla sunucu yardımcı olur. TCP SYN flood gibi, yalnızca TCP bağlantısı açıp kullanılabilir portları tüketen durumlar da vardır. Bu tür anormal istekler çoğu zaman sunucunun önündeki birkaç basit ters proxy ile işlenebilir.
Görünüşte normal HTTP trafiği gönderen daha karmaşık sorgular ise eninde sonunda işlenmek zorundadır. Önbellekten yanıt vermek, saldırganı yavaşlatıp normal trafiği belirlemek için CAPTCHA koymak ya da hız sınırlaması uygulamak gibi. İstek gerçek sunucuya iletilmeden önce normal olup olmadığını ayırt etmek istersiniz; bunun için çeşitli araçlar devreye alınabilir.
Sunucu da Cloudflare’dan gelmeyen tüm trafiği atacak şekilde yapılandırılır; bu yöntem verimlidir.
Genel olarak Google’ın iç veri merkezleri arasındaki trafik, birinin DDoS ile gönderebileceği miktardan çok daha büyüktür; bu yüzden her zaman onu işlemenin bir yolunu bulabilir.
Ancak tüm DDoS’lar kapasite tabanlı değildir. slow loris saldırısında olduğu gibi protokolün temel özelliklerini kötüye kullananlar da vardır.
https://www.cloudflare.com/learning/ddos/ddos-attack-tools/s...
Bu olayda bu, istemcinin akışları hızla sıfırlayıp sıfırlamadığını fark edip o trafiği yavaş şeride almak veya tamamen filtrelemek şeklinde olabilir.
https://blog.cloudflare.com/zero-day-rapid-reset-http2-recor...
“Rekor saldırıyla ilgili dikkat edilmesi gereken kilit noktalardan biri, yaklaşık 20.000 makineden oluşan orta ölçekli bir botnet’in işin içinde olmasıdır.”
Büyük sağlayıcıların hepsi bunu yapıp, bir sonraki ziyaret edilen Cloudflare sitesinin önüne küçük bir Turnstile benzeri sayfa ekleyebilir gibi geliyor.
Ağımda enfekte olmuş bir cihaz varsa bilmek isterim; şu anda bunu tespit edecek gerçek bir izleme de yok. Eksiksiz bir çözüm değil ama en azından kullanıcıya bir sorun olduğunu bildirmek iyi bir başlangıç olur.