Подробности о новой форме DDOS, которая требует относительно минимальных ресурсов для запуска атаки беспрецедентного масштаба, что делает ее явной опасностью для веб-сайтов, поскольку компании, занимающиеся серверным программным обеспечением, спешат выпустить исправления для защиты от нее.
Содержание
Эксплойт быстрого сброса HTTP/2
Уязвимость использует преимущества сетевых протоколов HTTP/2 и HTTP/3, которые позволяют передавать несколько потоков данных на сервер и браузер и обратно.
Это означает, что браузер может запросить несколько ресурсов с сервера и получить их все обратно, вместо того, чтобы ждать загрузки каждого ресурса по одному.
Эксплойт, о котором публично объявили Cloudflare, Amazon Web Services (AWS) и Google, называется HTTP/2 Rapid Reset.
Подавляющее большинство современных веб-серверов используют сетевой протокол HTTP/2.
Поскольку в настоящее время не существует программного исправления, исправляющего дыру в безопасности HTTP/2, это означает, что практически каждый сервер уязвим.
Эксплойт, который является новым и не имеет возможности его смягчить, называется эксплойтом нулевого дня.
Хорошей новостью является то, что компании, занимающиеся серверным программным обеспечением, работают над разработкой исправлений, устраняющих уязвимость HTTP/2.
Как работает уязвимость быстрого сброса HTTP/2
Сетевой протокол HTTP/2 имеет настройку сервера, которая разрешает определенное количество запросов в любой момент времени.
Запросы, превышающие это число, отклоняются.
Другая функция протокола HTTP/2 позволяет отменить запрос, что удаляет этот поток данных из заданного лимита запросов.
Это хорошо, поскольку освобождает сервер для обработки другого потока данных.
Однако злоумышленники обнаружили, что можно отправить на сервер миллионы (да, миллионы) запросов и отмен и перегрузить его.
Насколько плох быстрый сброс HTTP/2?
Эксплойт HTTP/2 Rapid Reset чрезвычайно плох потому что серверы в настоящее время не имеют защиты от него.
Cloudflare отметила, что заблокировала DDOS-атаку, которая на 300% превышала крупнейшую DDOS-атаку в истории.
Самый крупный из них, который они заблокировали, превысил 201 миллион запросов в секунду (RPS).
Google сообщает о DDOS-атаке, скорость которой превысила 398 миллионов запросов в секунду.
Но это еще не все, насколько плох этот эксплойт.
Что делает этот эксплойт еще хуже, так это то, что для запуска атаки требуется относительно незначительное количество ресурсов.
DDOS-атаки такого размера обычно требуют от сотен тысяч до миллионов зараженных компьютеров (так называемых ботнетов) для запуска атак такого масштаба.
Эксплойт HTTP/2 Rapid Reset требует всего лишь 20 000 зараженных компьютеров для запуска атак, которые в три раза превосходят самые крупные когда-либо зарегистрированные DDOS-атаки.
Это означает, что для хакеров гораздо ниже планка, позволяющая проводить разрушительные DDOS-атаки.
Как защититься от быстрого сброса HTTP/2?
Издатели серверного программного обеспечения в настоящее время работают над выпуском исправлений, устраняющих слабость эксплойта HTTP/2. Клиенты Cloudflare в настоящее время защищены, и им не о чем беспокоиться.
Cloudflare сообщает, что в худшем случае, если сервер подвергается атаке и беззащитен, администратор сервера может понизить сетевой протокол HTTP до HTTP/1.1.
Понижение сетевого протокола не позволит хакерам продолжить атаку, но производительность сервера может замедлиться (что, по крайней мере, лучше, чем быть в автономном режиме).
Прочтите бюллетени по безопасности
Сообщение в блоге Cloudflare:
Уязвимость HTTP/2 нулевого дня приводит к рекордным DDoS-атакам
Предупреждение о безопасности Google Cloud:
Google смягчил крупнейшую на сегодняшний день DDoS-атаку, достигшую пика в 398 миллионов запросов в секунду.
Предупреждение безопасности AWS:
CVE-2023-44487 — атака с быстрым сбросом HTTP/2
Рекомендованное изображение: Shutterstock/Illusmile
