Yeni HTTP/2 'Rapid Reset' DDoS saldırısı

 (cloud.google.com)
1 puan yazan GN⁺ 2023-10-11 | 1 yorum | WhatsApp'ta paylaş
  • Ağustos 2023'te Google hizmetleri ve Cloud müşterileri, daha önce bildirilen Katman 7 saldırılarından çok daha büyük, yeni bir HTTP/2 tabanlı DDoS saldırısının hedefi oldu.
  • En büyük saldırı saniyede 398 milyon isteği aştı, ancak bunun büyük kısmı Google'ın küresel yük dengeleme altyapısı tarafından ağın kenarında engellendi.
  • Google'ın DDoS müdahale ekibi saldırıyı inceledi ve benzer saldırıları daha fazla hafifletmek için ek koruma önlemleri aldı.
  • 2021 sonlarından bu yana Google hizmetleri ve Google Cloud projelerinde gözlemlenen Katman 7 DDoS saldırılarının çoğu HTTP/2 tabanlıydı.
  • HTTP/2, uç noktalar arasında çeşitli mesajları veya "frame"leri iletmek için "stream"leri kullanır ve bu, DDoS saldırılarını daha verimli hale getirmek için kullanılabilir.
  • HTTP/2 Rapid Reset saldırısı, istemcinin aynı anda çok sayıda stream açmasını ve sunucu ya da proxy'den her istek stream'i için yanıt beklemek yerine her isteği hemen iptal etmesini içerir.
  • Bu saldırı, sunucu ile istemci arasında mevcut bir maliyet asimetrisi yaratır; sunucu ise iptal edilen istekler için önemli miktarda iş yapmaya devam etmek zorundadır.
  • Rapid Reset saldırısının varyantları da gözlemlendi; bunlar genellikle ilk sürüm kadar verimli olmasa da standart HTTP/2 DDoS saldırılarından daha verimli olabilir.
  • Bu saldırı vektörüne yönelik hafifletme önlemleri çeşitli biçimler alabilir, ancak esas olarak bağlantı istatistiklerini izlemeye ve her bağlantının faydasını değerlendirmek için çeşitli sinyaller ile iş mantığını kullanmaya odaklanır.
  • Google şu anda HTTP/3'ün büyük ölçekli bir DDoS saldırı vektörü olarak kullanıldığını görmüyor, ancak HTTP/3 sunucu uygulamalarının tek bir taşıma bağlantısının gerçekleştirdiği iş yükünü sınırlayan mekanizmaları önceden uygulamasını öneriyor.
  • Google, ekosistem genelinde bu yeni HTTP/2 vektörünü ele almak için koordine edilmiş güvenlik açığı açıklama sürecine proaktif olarak yardımcı oldu.
  • HTTP/2 hizmeti sunan tüm sağlayıcılar, bu soruna maruziyetlerini değerlendirmeli ve mümkün olan en kısa sürede genel web sunucuları ile programlama dillerine yönelik yazılım yamaları ve güncellemeleri uygulamalıdır.

İlgili okumalar

1 yorum

 
GN⁺ 2023-10-11
Hacker News görüşleri
  • Rapid Reset adlı yeni bir DDoS saldırısı türü hakkındaki makale
  • Şimdiye kadarki en büyük DDoS saldırısı ve HTTP/2 Zero-Day açığı üzerine süregelen tartışma
  • 2018'de haproxy ekibinin HTTP/2 ile ilgili benzer bir sorunu tespit edip hafiflettiği gerçeği
  • Bazı kullanıcıların, Google'ın HTTP/2'yi geliştirip ardından kendi yarattıkları soruna karşı kendilerini kurtarıcı gibi sunmasını eleştirmesi
  • Saldırının, HTTP/2 sunucu uygulamalarındaki maliyet asimetrisini istismar etme biçimi
  • Diğer protokollerde güçlendirme saldırılarının zaten biliniyor olması düşünüldüğünde, bazı kullanıcıların bu açığın HTTP/2 tasarım sürecinde öngörülmemiş olmasına şaşırması
  • Bu saldırıyı, reklamları, izleyicileri ve hacimli frontend framework'lerini daha hızlı iletme ihtiyacının bir sonucu olarak gören yaklaşım
  • Bu saldırı türünün HTTP/2'nin ortaya çıkışından 10 yıl sonra görülmesi nedeniyle, bazı kullanıcıların HTTP/3 ve QUIC'teki potansiyel açıklardan endişe duyması
  • Microsoft'un bu açıkla ilgili yama ayrıntılarını yayımlaması
  • Bazı kullanıcıların, blog başlığının sürekli ekrana gelmesi nedeniyle sayfayı okuyamadığını fark etmesi
  • Bunun yalnızca basit bir istek seli değil de neden yeni bir saldırı türü sayıldığına dair açıklama talebi