1 điểm bởi GN⁺ 2023-10-11 | 1 bình luận | Chia sẻ qua WhatsApp
  • Khi quy mô các cuộc tấn công DDoS tăng rất nhanh, Google cho biết đã giảm thiểu một cuộc tấn công đạt đỉnh 398 triệu rps vào tháng 8/2023, lớn gấp 7,5 lần kỷ lục 46 triệu rps của năm trước
  • Kẻ tấn công đã sử dụng kỹ thuật Rapid Reset khai thác tính năng ghép kênh luồng của HTTP/2, ảnh hưởng đến nhiều doanh nghiệp hạ tầng Internet
  • Làn sóng tấn công bắt đầu vào cuối tháng 8/2023 và kéo dài sang tháng 9, nhắm vào các nhà cung cấp hạ tầng lớn, bao gồm dịch vụ Google, hạ tầng Google Cloud và khách hàng
  • Google đã hấp thụ cuộc tấn công ở rìa mạng và cập nhật các hệ thống phòng vệ; khách hàng của Application Load Balancer và Cloud Armor cũng được bảo vệ trên cùng nền tảng
  • Các máy chủ, proxy, application server và load balancer hỗ trợ HTTP/2 có thể bị ảnh hưởng bởi CVE-2023-44487, vì vậy cần kiểm tra mức độ dễ tổn thương và áp dụng bản vá từ nhà cung cấp

Quy mô tấn công và kỹ thuật Rapid Reset

  • DDoS Response Team của Google xác nhận rằng trong vài năm gần đây, quy mô các cuộc tấn công DDoS đã tăng theo cấp số nhân
  • Cuộc tấn công bị chặn vào tháng 8/2023 có quy mô lớn gấp 7,5 lần kỷ lục cao nhất của năm trước
    • Đạt đỉnh 398 triệu requests per second (rps)
    • Cuộc tấn công DDoS lớn nhất được ghi nhận trong năm 2022 là 46 triệu rps
  • Cuộc tấn công kéo dài 2 phút này tạo ra nhiều request hơn tổng số lượt xem trang mà Wikipedia báo cáo trong cả tháng 9/2023
  • Kỹ thuật cốt lõi là HTTP/2 Rapid Reset mới, tận dụng tính năng ghép kênh luồng của HTTP/2

Mục tiêu tấn công và ảnh hưởng tới dịch vụ

  • Làn sóng tấn công gần đây bắt đầu vào cuối tháng 8/2023 và tiếp tục được quan sát trong suốt tháng 9
  • Mục tiêu của các cuộc tấn công bao gồm những nhà cung cấp hạ tầng lớn
    • Dịch vụ Google
    • Hạ tầng Google Cloud
    • Khách hàng của Google
  • Google vẫn duy trì hoạt động dịch vụ nhờ hạ tầng cân bằng tải toàn cầu và giảm thiểu DDoS
  • Thông qua hợp tác với các đối tác trong ngành, Google đã xác định cơ chế tấn công và điều phối các biện pháp giảm thiểu để bảo vệ Google, khách hàng và Internet nói chung

Cách Google giảm thiểu và bảo vệ khách hàng Cloud

  • Kết quả điều tra cho thấy cuộc tấn công sử dụng kỹ thuật Rapid Reset khai thác tính năng ghép kênh luồng của giao thức HTTP/2 được sử dụng rộng rãi
  • Google đã giảm thiểu cuộc tấn công tại rìa mạng
    • Tận dụng đầu tư vào năng lực ở edge để bảo đảm dịch vụ của Google và dịch vụ của khách hàng phần lớn không bị ảnh hưởng
    • Sau khi hiểu rõ hơn về phương thức tấn công, Google đã phát triển các biện pháp giảm thiểu
    • Google cập nhật các proxy và hệ thống phòng thủ chống từ chối dịch vụ để giảm hiệu quả kỹ thuật này
  • Application Load BalancerCloud Armor của Google Cloud sử dụng cùng hạ tầng phần cứng và phần mềm mà Google dùng để cung cấp các dịch vụ Internet-facing của chính mình
  • Các ứng dụng web và dịch vụ Internet-facing của khách hàng Cloud sử dụng các dịch vụ này cũng nhận được mức bảo vệ tương tự

CVE-2023-44487 và phản ứng phối hợp toàn ngành

  • Ngay sau khi phát hiện các cuộc tấn công ban đầu vào tháng 8, Google đã áp dụng thêm các chiến lược giảm thiểu và điều phối phản ứng phối hợp toàn ngành với các nhà cung cấp cloud và đơn vị bảo trì phần mềm triển khai HTTP/2 protocol stack
  • Trong thời gian cuộc tấn công diễn ra, thông tin về tấn công và phương pháp giảm thiểu được chia sẻ theo thời gian thực
  • Sự hợp tác này đã dẫn tới các bản vá và kỹ thuật giảm thiểu được nhiều nhà cung cấp hạ tầng lớn áp dụng
  • Phương thức tấn công mới cùng khả năng dễ bị tổn thương tiềm ẩn của nhiều proxy, application server và load balancer mã nguồn mở lẫn thương mại phổ biến đã được công bố có trách nhiệm chung
  • Lỗ hổng tập thể liên quan đến cuộc tấn công này được theo dõi dưới mã CVE-2023-44487
    • Mức độ nghiêm trọng: High
    • Điểm CVSS: 7.5/10

Các đối tượng có thể bị ảnh hưởng và hành động cần thiết

  • Doanh nghiệp hoặc cá nhân cung cấp workload dựa trên HTTP ra Internet đều có thể đối mặt với rủi ro từ cuộc tấn công này
  • Các web application, service và API chạy trên máy chủ hoặc proxy có thể giao tiếp bằng HTTP/2 có thể dễ bị tấn công
  • Các tổ chức cần xác minh rằng máy chủ hỗ trợ HTTP/2 của mình không bị ảnh hưởng
  • Nếu đang vận hành hoặc quản lý máy chủ tự hỗ trợ HTTP/2, cần áp dụng bản vá liên quan từ nhà cung cấp ngay khi có sẵn, bất kể là mã nguồn mở hay thương mại
  • Bản vá của nhà cung cấp cho CVE-2023-44487 là biện pháp nhằm hạn chế tác động của vector tấn công này

Khuyến nghị phòng vệ trong môi trường Google Cloud

  • Việc phòng thủ trước các cuộc tấn công DDoS quy mô lớn là rất khó, và để tiếp tục vận hành dịch vụ trước các cuộc tấn công từ quy mô trung bình trở lên, bất kể đã vá hay chưa, vẫn cần đầu tư hạ tầng đáng kể
  • Các tổ chức vận hành dịch vụ trên Google Cloud có thể tận dụng khoản đầu tư về năng lực ở quy mô toàn cầu của Cross-Cloud Network để phân phối và bảo vệ ứng dụng
  • Khách hàng Google Cloud công bố dịch vụ bằng Application Load Balancer toàn cầu hoặc theo khu vực được bảo vệ bởi Cloud Armor always-on DDoS protection
    • Các cuộc tấn công khai thác lỗ hổng như CVE-2023-44487 được giảm thiểu nhanh chóng
  • Dù Cloud Armor always-on DDoS protection có thể hấp thụ phần lớn hàng trăm triệu request mỗi giây tại rìa mạng của Google, vẫn có thể còn hàng triệu request không mong muốn mỗi giây đi qua
  • Để ứng phó tấn công Layer 7, Google khuyến nghị triển khai custom security policies của Cloud Armor, các quy tắc rate limiting chủ động và Adaptive Protection dựa trên AI
  • Thông tin kỹ thuật về làn sóng tấn công DDoS hiện tại có thể xem tại Phân tích cuộc tấn công DDoS HTTP/2 Rapid Reset

1 bình luận

 
GN⁺ 2023-10-11
Các ý kiến trên Hacker News
  • Các luồng thảo luận liên quan đang diễn ra:
    The novel HTTP/2 'Rapid Reset' DDoS attack - https://news.ycombinator.com/item?id=37830987
    HTTP/2 Zero-Day Vulnerability Results in Record-Breaking DDoS Attacks - https://news.ycombinator.com/item?id=37830998
  • Tôi tò mò ai có động cơ thực hiện kiểu tấn công DDoS như thế này. Khó thấy lý do để chấp nhận chi phí lớn và phát triển một cuộc tấn công tinh vi nhắm vào hạ tầng cloud của doanh nghiệp; câu trả lời hợp lý nhất có vẻ là chính phủ nước ngoài
    Dù vậy, nếu kết quả chỉ là làm các công ty công nghệ Mỹ và khách hàng của họ bất tiện trong vài giờ, tôi vẫn không hiểu vì sao chuyện này cứ tiếp diễn
    • Tôi đã làm phòng thủ DDoS khoảng 20 năm, và câu trả lời đôi khi là các tác nhân nhà nước, nhưng nhiều khi cũng là những kẻ lừa đảo ở Đông Âu. Họ thực hiện các cuộc tấn công lớn để lấy danh tiếng trong cộng đồng bot
      Với danh tiếng đó, họ nhận tiền từ các khách hàng kém trong sạch muốn tấn công đối thủ; đôi khi khách hàng đó là chính phủ, đôi khi là một công ty đáng ngờ. Năm ngoái có rất nhiều vụ các công ty tiền mã hóa tấn công website của nhau
      Những người làm việc này thường có trình độ kỹ thuật cao, nhưng vì nơi sống hoặc môi trường trưởng thành mà họ có ít cơ hội kiếm tiền từ kỹ năng đó
    • Vì mục đích quảng bá. Tấn công Google hoặc Cloudflare, chờ họ đăng bài blog “cuộc tấn công lớn nhất từ trước đến nay”, rồi nói với khách hàng tiềm năng rằng botnet của mình có thể tạo ra cuộc tấn công lớn hơn bất kỳ ai và dùng bài đó làm bằng chứng
    • Nếu là kẻ tấn công non tay thì mục đích là khoe khoang và lấy danh tiếng trong cộng đồng hacker, không khác gì để lại graffiti trên cầu vượt xa lộ
      Nếu là kẻ tấn công cao cấp thì họ đang thử nghiệm năng lực và phản ứng phòng thủ. Trước đây Taliban từng trả tiền cho trẻ em đốt pháo bên ngoài căn cứ để quan sát chiến thuật, kỹ thuật và quy trình phòng thủ; việc đó cũng có tác dụng làm người ta bớt nhạy cảm với tiếng súng
      Một đối thủ thật sự giỏi biết cách làm điều thứ hai nhưng khiến nó trông như điều thứ nhất
    • Dù là thông tin cũ, trước đây có thể trả vài trăm đô la cho chủ botnet để quấy rối server của người mình ghét. Ví dụ như phá hỏng trận đấu của một clan trong game cạnh tranh. Trên đời có nhiều trò nhỏ nhặt như vậy đến mức đáng ngạc nhiên
      Với botnet Mirai, một số tác giả của nó cũng vận hành công ty giảm thiểu DDoS. Nói cách khác, họ bán vũ khí ở một bên và bán phòng thủ chống lại vũ khí đó ở bên kia
      Đôi khi động cơ là danh tiếng, trò nghịch ngợm, hoặc chính thử thách tạo ra botnet
    • Trong một vụ tấn công quy mô lớn tương tự gần đây, những người viết phần mềm botnet từng thuộc một công ty bảo mật Mỹ chuyên bán giải pháp giảm thiểu DDoS (https://en.wikipedia.org/wiki/Mirai_(malware))
  • Ở công ty cũ, chúng tôi khá thường xuyên bị các cuộc tấn công nhỏ hơn nhiều. Nội bộ giả định rằng đối thủ cạnh tranh muốn cản trở chúng tôi, nhưng rốt cuộc vẫn là bí ẩn
    Dù là ở quy mô hạ tầng Internet hay nhắm vào một công ty cụ thể, tôi tự hỏi liệu có ai từng tham gia những cuộc tấn công như vậy đủ dũng cảm hoặc đủ điên để tạo tài khoản tạm và kể về động cơ không
    • Tôi từng gặp chuyện tương tự, ban đầu tưởng là mấy script kiddie làm cho vui. Hóa ra có người đã viết một microservice rất tệ, và các truy vấn kém hiệu quả thỉnh thoảng kích hoạt mọi cảnh báo
    • Một công ty hosting địa phương đã DDoS các doanh nghiệp địa phương có hạ tầng IT, rồi quảng cáo giải pháp hosting của mình có kèm bảo vệ DDoS
    • Các đại học Thụy Điển bị “Thổ Nhĩ Kỳ” tấn công sau tranh cãi lớn về việc đốt Kinh Quran. Họ còn khoe khoang trên tài khoản Twitter, nhưng có vẻ khá rõ đó là Nga
    • Tôi nghe nói cũng có kiểu tấn công mà mục tiêu là một hệ thống con. Cách làm là tấn công toàn bộ mạng để tránh thu hút sự chú ý
    • Một khách hàng của tôi bị các đối thủ DDoS, nhưng nhiều khả năng các đối thủ không biết rằng họ đang DDoS. Họ scrape danh sách sản phẩm cực kỳ hung hãn, không có bất kỳ độ trễ hay giới hạn tốc độ nào, và kết quả là thành DDoS
      Họ không định làm website mục tiêu chậm lại, nhưng thực tế họ đang cố lấy dữ liệu với tốc độ khiến chi phí server của khách hàng trả tiền thật sự trở nên không chịu nổi
      Kiểu tấn công này khác với DDoS thực sự, nhưng theo kinh nghiệm của tôi thì phổ biến hơn nhiều, và có thể giảm thiểu khá dễ bằng những dịch vụ như Cloudflare hoặc Akamai, nên tôi thường khuyên khách hàng như vậy
  • Cloudflare cũng gặp cuộc tấn công tương tự: https://blog.cloudflare.com/zero-day-rapid-reset-http2-recor...
  • Đoạn “Google và AWS cũng đang quan sát cuộc tấn công này vào cùng thời điểm” khá thú vị. Nếu có ai làm ở cấp độ này tại các nhà cung cấp lớn, tôi tò mò trong một cuộc tấn công quy mô như vậy thực tế chuyện gì diễn ra
    Không biết người của Cloudflare, Google, AWS có cùng vào một cuộc họp video thời gian thực để phối hợp giảm thiểu, hay mỗi bên quan sát tình hình nơi khác từ xa và tập trung xử lý vấn đề của mình
    • Thường thì mỗi bên tự dập đám cháy của mình, nhưng nếu ai đó thấy điều gì thú vị hoặc mới, sau khi lửa tắt họ sẽ hỏi các nơi khác có gặp cuộc tấn công tương tự không. Vì đó có thể là botnet mới, phương thức tấn công mới, v.v.
      Lần này, mọi người nhận ra rằng họ đều đang thấy cùng một thứ; vì tác động với các mục tiêu nhỏ có thể rất lớn, họ đã cùng tìm hiểu vấn đề và phối hợp ứng phó bảo mật với tất cả nhà cung cấp web server
  • Tôi tò mò giảm thiểu DDoS hoạt động như thế nào. Câu “đặt website sau Cloudflare để giảm thiểu DDoS” chính xác nghĩa là gì?
    Không biết có phải chỉ là có đủ băng thông đầu vào để chịu được vài Gb/s, đồng thời vẫn chừa dung lượng cho lưu lượng hợp pháp hay không
    • Điều đó cũng nằm trong đó, nhưng còn nhiều yếu tố hơn nhiều. Thông thường cần có khả năng tăng động băng thông và tài nguyên tính toán để xử lý dòng lưu lượng tràn vào

Nhiều lưu lượng DDoS không phải HTTP thật sự, mà là lưu lượng rác nhắm vào địa chỉ IP để lấp đầy đường truyền. Đường truyền lớn hơn và nhiều máy chủ phân tán theo địa lý sẽ giúp ích. Cũng có trường hợp như TCP SYN flood, chỉ mở các kết nối TCP để làm cạn kiệt các cổng khả dụng. Những yêu cầu bất thường như vậy thường có thể được xử lý bằng nhiều reverse proxy đơn giản đặt phía trước máy chủ
Các truy vấn tinh vi hơn, bề ngoài gửi lưu lượng HTTP bình thường, cuối cùng vẫn phải được xử lý. Chẳng hạn phản hồi từ cache, chèn CAPTCHA để làm chậm kẻ tấn công và nhận diện lưu lượng bình thường, hoặc áp dụng giới hạn tốc độ. Bạn sẽ muốn xác định yêu cầu có hợp lệ hay không trước khi chuyển đến máy chủ thật, và có thể triển khai nhiều công cụ để làm việc này

  • Cloudflare và các công ty khác có thể phát hiện yêu cầu có phải là lưu lượng DDoS hay không, rồi bỏ, giới hạn hoặc xác minh thay vì chuyển tiếp đến máy chủ
    Chỉ cần cấu hình máy chủ loại bỏ mọi lưu lượng không do Cloudflare gửi đến, và cách này hiệu quả
  • Khi còn ở Google SRE, mọi người hay đùa rằng “lưu lượng DDoS thì cứ gửi sang Úc
    Nhìn chung, lưu lượng giữa các trung tâm dữ liệu nội bộ của Google lớn hơn rất nhiều so với lượng mà bất kỳ ai có thể gửi dưới dạng DDoS, nên luôn có thể tìm ra cách xử lý
  • Nếu tấn công DDoS là dựa trên dung lượng, cách giảm thiểu duy nhất là có mạng đủ dày để xử lý lưu lượng và phối hợp với ISP để bắt đầu chặn từ thượng nguồn
    Nhưng không phải mọi DDoS đều dựa trên dung lượng. Cũng có trường hợp lợi dụng các chức năng cơ bản của giao thức, như tấn công slow loris
    https://www.cloudflare.com/learning/ddos/ddos-attack-tools/s...
  • Cái thường được gọi là giảm thiểu nghĩa là tự động nhận diện yêu cầu DDoS và xử lý chúng với chi phí thấp hơn mà không ảnh hưởng đến người dùng bình thường
    Trong trường hợp này, có thể là nhận ra client có đang reset stream nhanh hay không, rồi đưa lưu lượng đó vào làn chậm hoặc lọc bỏ hẳn
  • Bài viết này có liên kết tới thông tin bổ sung về tính năng HTTP/2 Rapid Reset được dùng như một phần của DDoS: https://cloud.google.com/blog/products/identity-security/how...
  • Không có nhắc gì về nguồn gốc của cuộc tấn công này à? Có vẻ sẽ cần một lượng phần cứng khổng lồ, và nếu không phải botnet nào đó thì trông như sẽ dễ bị truy vết
    • Tin đặc biệt xấu là cuộc tấn công này thật ra không cần một botnet cực lớn
      https://blog.cloudflare.com/zero-day-rapid-reset-http2-recor...
      “Một điểm cốt lõi cần lưu ý về cuộc tấn công phá kỷ lục này là có một botnet cỡ trung bình gồm khoảng 20.000 máy tham gia”
    • Xét về quy mô, việc công bố nguồn gốc có thể nhạy cảm về chính trị và pháp lý
    • Phỏng đoán tức thì là Iran đang làm việc này. Họ đã làm nhiều lần trước đây và là đồng minh của Hamas. Tôi chưa thấy bằng chứng, nhưng có vẻ là một phỏng đoán khá an toàn
  • Cloudflare không thể hiển thị cho vài yêu cầu HTTP tiếp theo từ IP đó một trang thông báo rằng “có thứ gì đó trong mạng của bạn đang tham gia tấn công DDoS” sao
    Có vẻ các nhà cung cấp lớn đều có thể làm như vậy, chèn một trang nhỏ kiểu Turnstile trước trang Cloudflare tiếp theo mà người dùng truy cập
    Nếu trong mạng của tôi có thiết bị bị nhiễm, tôi muốn biết, và hiện tôi cũng không có hệ thống giám sát thực tế nào để phát hiện việc này. Đây không phải giải pháp hoàn chỉnh, nhưng ít nhất báo cho người dùng rằng có vấn đề là một khởi đầu tốt
    • Hay đấy. Có thể đưa chúng ta quay lại thời kỳ trước HTTPS, giống như khi ISP chèn quảng cáo vào HTML. Lần này tức là bình thường hóa việc các nhà cung cấp CDN làm điều đó
    • Trong thời đại CGNAT thì đây không phải ý hay
  • Blog Cloudflare: https://blog.cloudflare.com/zero-day-rapid-reset-http2-recor...