Cuộc tấn công DDoS 'Rapid Reset' HTTP/2 mới

 (cloud.google.com)
1 điểm bởi GN⁺ 2023-10-11 | 1 bình luận | Chia sẻ qua WhatsApp
  • Vào tháng 8 năm 2023, các dịch vụ của Google và khách hàng Cloud đã trở thành mục tiêu của một cuộc tấn công DDoS mới dựa trên HTTP/2, có quy mô lớn hơn nhiều so với các cuộc tấn công Layer 7 từng được báo cáo trước đó.
  • Cuộc tấn công lớn nhất vượt quá 398 triệu yêu cầu mỗi giây, nhưng phần lớn đã bị chặn ở rìa mạng nhờ hạ tầng cân bằng tải toàn cầu của Google.
  • Đội ngũ ứng phó DDoS của Google đã rà soát cuộc tấn công và thực hiện thêm các biện pháp bảo vệ để giảm thiểu tốt hơn những cuộc tấn công tương tự.
  • Kể từ cuối năm 2021, phần lớn các cuộc tấn công DDoS Layer 7 được quan sát thấy trên các dịch vụ Google và dự án Google Cloud đều dựa trên HTTP/2.
  • HTTP/2 sử dụng các "stream" để truyền nhiều thông điệp hoặc "frame" khác nhau giữa các endpoint, và điều này có thể bị lợi dụng để làm cho các cuộc tấn công DDoS hiệu quả hơn.
  • Tấn công HTTP/2 Rapid Reset bao gồm việc client mở một số lượng lớn stream cùng lúc, rồi thay vì chờ phản hồi cho từng stream yêu cầu từ server hoặc proxy, lập tức hủy từng yêu cầu.
  • Cuộc tấn công này tạo ra sự bất đối xứng về chi phí khai thác giữa server và client, khi server vẫn phải tiếp tục xử lý một khối lượng công việc đáng kể cho các yêu cầu đã bị hủy.
  • Các biến thể của tấn công Rapid Reset đã được quan sát thấy; chúng thường kém hiệu quả hơn phiên bản ban đầu, nhưng vẫn có thể hiệu quả hơn các cuộc tấn công DDoS HTTP/2 tiêu chuẩn.
  • Các biện pháp giảm thiểu đối với vector tấn công này có thể có nhiều hình thức, nhưng chủ yếu tập trung vào việc theo dõi thống kê kết nối và sử dụng nhiều tín hiệu cùng logic nghiệp vụ để đánh giá mức độ hữu ích của từng kết nối.
  • Google hiện chưa thấy HTTP/3 bị sử dụng như một vector DDoS quy mô lớn, nhưng khuyến nghị các triển khai server HTTP/3 chủ động xây dựng cơ chế giới hạn khối lượng công việc mà một kết nối truyền tải đơn lẻ có thể gây ra.
  • Google đã chủ động hỗ trợ dẫn dắt quy trình công bố lỗ hổng có phối hợp nhằm xử lý vector HTTP/2 mới này trên toàn bộ hệ sinh thái.
  • Tất cả các nhà cung cấp vận hành dịch vụ HTTP/2 nên đánh giá mức độ phơi nhiễm với vấn đề này và áp dụng các bản vá, cập nhật phần mềm cho web server phổ biến cũng như các ngôn ngữ lập trình sớm nhất có thể.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-10-11
Ý kiến Hacker News
  • Bài viết về một kiểu tấn công DDoS mới có tên là 'Rapid Reset'
  • Cuộc thảo luận tiếp diễn về vụ tấn công DDoS lớn nhất từ trước đến nay và lỗ hổng Zero-Day của HTTP/2
  • Việc nhóm haproxy đã từng xác định và giảm thiểu một vấn đề tương tự liên quan đến HTTP/2 vào năm 2018
  • Một số người dùng chỉ trích việc Google tạo ra HTTP/2 rồi lại tự thể hiện mình như vị cứu tinh khỏi chính vấn đề mà họ tạo ra
  • Cách cuộc tấn công khai thác sự bất đối xứng về chi phí trong các triển khai máy chủ HTTP/2
  • Sự ngạc nhiên của một số người dùng rằng lỗ hổng này đã không được lường trước trong quá trình thiết kế HTTP/2, nhất là khi các cuộc tấn công khuếch đại đã được biết đến trong các giao thức khác
  • Góc nhìn cho rằng cuộc tấn công này là hệ quả của nhu cầu về HTTP/2 để phân phối quảng cáo, trình theo dõi và các frontend framework cồng kềnh nhanh hơn
  • Xét đến việc kiểu tấn công này chỉ xuất hiện sau 10 năm kể từ khi HTTP/2 ra đời, một số người dùng lo ngại về các lỗ hổng tiềm ẩn trong HTTP/3 và QUIC
  • Microsoft đã công bố chi tiết bản vá cho lỗ hổng này
  • Một số người dùng phát hiện phần đầu blog cứ liên tục hiện ra khiến họ không thể đọc trang
  • Yêu cầu giải thích điều gì khiến cuộc tấn công này trở nên mới mẻ thay vì chỉ là một đợt flood request đơn thuần