Твитнуть
После выхода совместных отчетов AWS (Amazon), Cloudflare и Google, стало известно, что начиная с августа начала действовать новая zero-day атака HTTP/2 Rapid Reset. Компании заявили, что интенсивность DDoS-атак составила от 155 до 398 миллионов запросов в секунду. Чтобы развить такую мощность, хакеры используют ботнет-сеть, состоящую из 20000 устройств. При этом размеры подобных сетей могут составлять до нескольких миллионов устройств и сложно предположить какой мощностью будут обладать DDoS-атаки в таком случае.
По данным Cloudflare, с августа 2023 года зафиксировано более 1000 разных атак, выполненных по методу HTTP/2 Rapid Reset. Он реализуется на базе “уязвимости нулевого дня” CVE-2023-44487, суть которой состоит в ошибке протокола HTTP/2, благодаря которой ведется постоянная отмена и отправка запросов на серверы, из-за чего происходит их моментальная перегрузка.
Защита в сетевом протоколе HTTP/2, которая должна предотвращать подобные атаки и сокращать количество одновременных активных запросов, не всегда работает эффективно. В Google объяснили, что в протоколе не прописана координация отмены запросов, поскольку клиенты могут отменять их сами. По этой причине злоумышленникам и удается сгенерировать большой поток запросов.
Специалисты из Cloudflare рассказали, что прокси протоколы HTTP/2 и ограничители нагрузки не справляются с атаками подобного типа. При этом они привели статистику, по который среди клиентов компании увеличилось количество ошибок 502 (Bad Gateway). Компания сообщила, что информация о новом типе атак HTTP/2 Rapid Reset появилась примерно месяц назад, но ее не разглашали, давая поставщикам систем безопасности время на реагирование и подготовку.
В Cloudflare для противодействия DDoS-атакам воспользовались системой IP Jail. Она позволяет блокировать запросы с вредоносных IP-адресов, не давая им доступ к протоколу HTTP/2. Об эффективном противодействии атакам рассказали и в Amazon, отметив, что сервисы компании ни на минуту не прекращали работу.
Все три компании советуют клиентам внедрять все доступные инструменты для борьбы с HTTP-атаками и повышать устойчивость к внешним воздействиям любыми другими средствами.
По данным Cloudflare, с августа 2023 года зафиксировано более 1000 разных атак, выполненных по методу HTTP/2 Rapid Reset. Он реализуется на базе “уязвимости нулевого дня” CVE-2023-44487, суть которой состоит в ошибке протокола HTTP/2, благодаря которой ведется постоянная отмена и отправка запросов на серверы, из-за чего происходит их моментальная перегрузка.
Защита в сетевом протоколе HTTP/2, которая должна предотвращать подобные атаки и сокращать количество одновременных активных запросов, не всегда работает эффективно. В Google объяснили, что в протоколе не прописана координация отмены запросов, поскольку клиенты могут отменять их сами. По этой причине злоумышленникам и удается сгенерировать большой поток запросов.
Специалисты из Cloudflare рассказали, что прокси протоколы HTTP/2 и ограничители нагрузки не справляются с атаками подобного типа. При этом они привели статистику, по который среди клиентов компании увеличилось количество ошибок 502 (Bad Gateway). Компания сообщила, что информация о новом типе атак HTTP/2 Rapid Reset появилась примерно месяц назад, но ее не разглашали, давая поставщикам систем безопасности время на реагирование и подготовку.
В Cloudflare для противодействия DDoS-атакам воспользовались системой IP Jail. Она позволяет блокировать запросы с вредоносных IP-адресов, не давая им доступ к протоколу HTTP/2. Об эффективном противодействии атакам рассказали и в Amazon, отметив, что сервисы компании ни на минуту не прекращали работу.
Все три компании советуют клиентам внедрять все доступные инструменты для борьбы с HTTP-атаками и повышать устойчивость к внешним воздействиям любыми другими средствами.