- Google menangani DDoS terbesar sepanjang sejarah dengan 398 juta permintaan per detik.
- Selama 2 menit serangan berlangsung, jumlah permintaan yang terjadi lebih banyak daripada trafik Wikipedia selama 1 bulan.
- Serangan ini terjadi akibat kerentanan baru di HTTP/2 bernama Rapid Reset.
- Memanfaatkan multiplexing stream dan fitur pembatalan permintaan sesuai cara kerja HTTP/2.
- Dari satu klien, dapat dibuat jumlah permintaan yang tidak terbatas selama bandwidth jaringan mengizinkan.
- Serangan DoS layer 7 pada dasarnya terbatas untuk menghasilkan banyak permintaan dari satu klien karena bergantung pada RTT dan jumlah koneksi simultan.
- Namun metode ini memungkinkan pembuatan permintaan dengan sangat cepat melalui proses membatalkan permintaan segera setelah dibuat.
- Berbeda dari DDoS terbesar sebelumnya, serangan efektif dapat dilakukan dengan jumlah perangkat yang lebih sedikit.
- Kerentanan ini dapat dilihat di CVE-2023-44487, dengan skor CVSS 7.5 yang tergolong serius.
- Vendor lain seperti Cloudflare dan AWS juga masing-masing menerima serangan DDoS sebesar 201 juta RPS dan 155 juta RPS.
- Cloudflare menyebut serangan itu dilakukan oleh botnet berisi lebih dari 20 ribu perangkat.
- DDoS berskala raksasa sebelumnya biasanya dilakukan oleh botnet berisi puluhan ribu hingga jutaan perangkat.
- Web server seperti Nginx dan Caddy sedang cepat menggelar patch.
1 komentar
Hampir 400 juta request per detik... benar-benar mengerikan.
Ini adalah kerentanan pada implementasi HTTP/2, dan Google, Cloudflare, AWS, dan lainnya yang berhasil memitigasinya juga luar biasa.
Yang paling menarik bagi saya adalah HAProxy ternyata sudah menyelesaikan masalah ini pada 2018.
Saat itu mereka memang tidak mengidentifikasi dan memperbaiki kerentanan ini secara spesifik, tetapi ketika ditinjau kembali, masalah yang diangkat pada 2018 itu ternyata merupakan ide yang menyelesaikan kerentanan ini.
Bagaimanapun, bagi yang menggunakan web server, sebaiknya segera perbarui ke versi yang sudah memperbaiki kerentanan ini.