Nuevo ataque DDoS de HTTP/2 "Rapid Reset"

 (cloud.google.com)
1 puntos por GN⁺ 2023-10-11 | 1 comentarios | Compartir por WhatsApp
  • En agosto de 2023, los servicios de Google y los clientes de Cloud fueron objetivo de un nuevo ataque DDoS basado en HTTP/2 mucho mayor que los ataques de capa 7 reportados anteriormente.
  • El ataque más grande superó los 398 millones de solicitudes por segundo, pero la mayor parte fue bloqueada en el borde de la red por la infraestructura global de balanceo de carga de Google.
  • El equipo de respuesta DDoS de Google revisó el ataque y tomó medidas de protección adicionales para mitigar aún más ataques similares.
  • Desde finales de 2021, la mayoría de los ataques DDoS de capa 7 observados en los servicios de Google y en los proyectos de Google Cloud han estado basados en HTTP/2.
  • HTTP/2 usa "streams" para enviar distintos mensajes o "frames" entre endpoints, y esto puede usarse para hacer más eficientes los ataques DDoS.
  • El ataque HTTP/2 Rapid Reset consiste en que el cliente abre una gran cantidad de streams al mismo tiempo y, en lugar de esperar la respuesta del servidor o del proxy para cada stream de solicitud, cancela inmediatamente cada solicitud.
  • Este ataque crea una asimetría de costos aprovechable entre el servidor y el cliente, ya que el servidor debe seguir realizando una cantidad considerable de trabajo para solicitudes canceladas.
  • Se observaron variantes del ataque Rapid Reset, que por lo general no son tan eficientes como la versión inicial, pero pueden ser más eficientes que los ataques DDoS estándar sobre HTTP/2.
  • Las medidas de mitigación para este vector de ataque pueden tomar varias formas, pero se centran principalmente en rastrear estadísticas de conexión y usar distintas señales y lógica de negocio para determinar la utilidad de cada conexión.
  • Google no está viendo actualmente que HTTP/3 se use como vector de ataques DDoS a gran escala, pero recomienda que las implementaciones de servidores HTTP/3 incorporen de antemano mecanismos para limitar la cantidad de trabajo realizada por una sola conexión de transporte.
  • Google ayudó de forma proactiva a liderar un proceso coordinado de divulgación de vulnerabilidades para abordar este nuevo vector de HTTP/2 en todo el ecosistema.
  • Todos los proveedores que ofrecen servicios HTTP/2 deben evaluar su exposición a este problema y aplicar lo antes posible parches de software y actualizaciones para servidores web comunes y lenguajes de programación.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-10-11
Comentarios de Hacker News
  • Un artículo sobre un nuevo tipo de ataque DDoS llamado "Rapid Reset"
  • Debate continuo sobre el mayor ataque DDoS hasta la fecha y una vulnerabilidad Zero-Day de HTTP/2
  • El hecho de que en 2018 el equipo de haproxy identificó y mitigó un problema similar relacionado con HTTP/2
  • Algunos usuarios critican que Google haya creado HTTP/2 y luego se presente como salvador de los problemas que ellos mismos crearon
  • La forma en que el ataque explota la asimetría de costos en las implementaciones de servidores HTTP/2
  • La sorpresa de algunos usuarios de que esta vulnerabilidad no se hubiera anticipado durante el proceso de diseño de HTTP/2, considerando ataques de amplificación ya conocidos en otros protocolos
  • La visión de que este ataque es consecuencia de la necesidad de HTTP/2 para entregar más rápido anuncios, rastreadores y frameworks frontend pesados
  • La preocupación de algunos usuarios sobre posibles vulnerabilidades en HTTP/3 y QUIC, considerando que este tipo de ataque apareció 10 años después de la existencia de HTTP/2
  • Microsoft publicó los detalles del parche para esta vulnerabilidad
  • Algunos usuarios encontraron que el encabezado del blog seguía apareciendo y hacía imposible leer la página
  • Una solicitud de explicación sobre qué hace que este ataque sea nuevo y no simplemente un flood de solicitudes