🥇Уязвимост на HTTP/2 протокол, участваща в най-голямата DDoS атака

Google регистрира най-голямата DDoS атака на своята инфраструктура, чийто интензитет беше 398 милиона заявки в секунда. Новата атака е 7 пъти по-интензивна от предишната рекордна DDoS атака, при която нападателите успяха да генерират поток от 47 милиона заявки в секунда. За сравнение, целият трафик в цялата мрежа се оценява на 1-3 милиарда заявки в секунда. В допълнение към Google, Amazon и Cloudflare също бяха изправени пред атака. Възможността за нова атака е свързана с идентифицирането на уязвимост в протокола HTTP/2 (CVE-2023-44487), който позволява изпращането на огромен поток от заявки към сървъра с минимално натоварване на клиента.

Новата техника за атака се нарича „Бързо нулиране“ и се възползва от факта, че средствата за мултиплексиране на комуникационни канали, предоставени в HTTP/2, правят възможно генерирането на поток от заявки в рамките на вече установена връзка, без да се отварят нови мрежови връзки и без чака потвърждение за получаване на пакети. Счита се, че уязвимостта е следствие от пропуск в протокола HTTP/2, чиято спецификация гласи, че ако се направи опит за отваряне на твърде много потоци, само потоците, надвишаващи лимита, трябва да бъдат анулирани, но не и цялата мрежа Връзка.

Подобно на използваните по-рано методи за атака на HTTP/2, новата атака също създава голям брой нишки в рамките на една връзка. Основната разлика на новата атака е, че вместо да се чака отговор, всяка изпратена заявка е последвана от рамка с RST_STREAM флаг, който незабавно отменя заявката. Анулирането на заявка на ранен етап ви позволява да се отървете от обратния трафик към клиента и да заобиколите ограниченията за максималния възможен брой потоци, които могат да бъдат отворени едновременно в рамките на една HTTP/2 връзка на HTTP сървъри. Така при новата атака обемът на заявките, изпратени до HTTP сървъра, престава да зависи от закъсненията между изпращането на заявката и получаването на отговор (RTT, време за двупосочно пътуване) и зависи само от честотната лента на комуникационния канал.

HTTP/2 уязвимост, включена в най-голямата DDoS атака

Тъй като атаката от страна на клиента изисква просто изпращане на заявки без получаване на отговори, атаката може да се извърши с минимални разходи. Например, атаката с 201 милиона заявки в секунда, регистрирана от Cloudflare, е извършена с помощта на относително малка ботнет мрежа от 20 000 компютъра. сървър Цената за обработка на входящите заявки е значително по-висока, въпреки тяхното анулиране, поради необходимостта от извършване на операции като разпределяне на структури от данни за нови потоци, парсиране на заявката, разопаковане на заглавката и съпоставяне на URL адреса с ресурса. При атака срещу обратни прокси сървъри, атаката може да се разпространи към бекенд сървърите, тъй като прокси сървърът може да пренасочи заявката към бекенда, преди да бъде обработен кадърът RST_STREAM.

Атаката може да бъде осъществена само на уязвими сървъри, които поддържат HTTP/2 (скрипт за проверка за уязвимост на сървъри, инструменти за атаки). Все още не са открити атаки за HTTP/3 и тяхната осъществимост не е напълно анализирана, но представители на Google препоръчват на разработчиците сървъри Добавете към HTTP/3 реализациите защитни мерки, подобни на тези, внедрени за блокиране на атаки срещу HTTP/2.

Излагане на уязвимост и наличие на корекции за HTTP сървъри и проксита:

nginx (съобщение, пояснение, че уязвимостта не се проявява напълно в nginx в конфигурацията по подразбиране, тъй като атаката ще бъде ограничена от ограничението за броя на заявките за връзка (т.е. след всеки 1000 заявки връзката ще бъде нулирана). Пачът добавя допълнителна защита за ограничаване на интензивността на заявките чрез директивата “limit_req”).
В HAProxy ефективната защита срещу превишаване на ограничението за броя HTTP/2 нишки беше добавена през 2018 г. и е в сила от версия 1.9-dev.
Apache httpd (определено натоварване се създава на httpd, но не се отнася за задните части и е ограничено от ограниченията за клиентски връзки, които са в сила от 2016 г.).
mod_h2 за Apache httpd.
кутийка за чай
изпратен
golang (проблемът е коригиран в версии Go 1.21.3 и 1.20.10).
h2o (лепенка).
grpc-go
хипер (уязвимостта не се появява).
jetty (коригиран в 12.0.2, 11.0.17, 10.0.17 и 9.4.53.v20231009).
нети
nghttp2 (коригиран във версия 1.57.0).
Facebook проксиген
.NET и ASP.NET Core (http сървърът ASP.NET Core Kestrel е уязвим).
Node.js
проксиген
swift-nio-http2 (поправен във версия 1.28.0).
Apache Tomcat (коригиран във версии 11.0.0-M12, 10.1.14, 9.0.81, 8.5.94).
Apache Traffic Server (поправен в 9.2.x клон).