Serangan DDoS Terbesar Sepanjang Masa Mencapai Puncak 398 Juta rps
(cloud.google.com)- Di tengah skala serangan DDoS yang tumbuh cepat, Google memitigasi serangan yang mencapai 398 juta rps pada Agustus 2023, yaitu 7,5 kali lebih besar daripada rekor tahun sebelumnya sebesar 46 juta rps
- Penyerang menggunakan teknik Rapid Reset yang menyalahgunakan multiplexing stream pada HTTP/2, dan sejumlah perusahaan infrastruktur internet turut terdampak
- Gelombang serangan dimulai pada akhir Agustus 2023 dan berlanjut hingga September, dengan penyedia infrastruktur utama termasuk layanan Google, infrastruktur Google Cloud, dan pelanggan Google menjadi sasaran
- Google menyerap serangan di network edge dan memperbarui sistem pertahanannya, sementara pelanggan Application Load Balancer dan Cloud Armor juga menerima perlindungan berbasis fondasi yang sama
- Server, proxy, application server, dan load balancer yang mendukung HTTP/2 dapat terdampak CVE-2023-44487, sehingga perlu memeriksa kerentanan dan menerapkan patch dari vendor
Skala serangan dan teknik Rapid Reset
- DDoS Response Team Google mengonfirmasi tren bahwa skala serangan DDoS tumbuh secara eksponensial dalam beberapa tahun terakhir
- Serangan yang diblokir pada Agustus 2023 memiliki skala 7,5 kali lebih besar dibanding rekor maksimum tahun sebelumnya
- Mencapai puncak 398 juta requests per second (rps)
- Serangan DDoS terbesar yang tercatat pada 2022 adalah 46 juta rps
- Serangan yang berlangsung selama 2 menit ini menghasilkan lebih banyak permintaan daripada total tayangan artikel yang dilaporkan Wikipedia sepanjang September 2023
- Teknik intinya adalah HTTP/2 Rapid Reset baru yang memanfaatkan fitur multiplexing stream pada HTTP/2
Target serangan dan dampak terhadap layanan
- Gelombang serangan terbaru dimulai pada akhir Agustus 2023 dan terus diamati sepanjang September
- Target serangan mencakup penyedia infrastruktur utama
- Layanan Google
- Infrastruktur Google Cloud
- Pelanggan Google
- Google terus mengoperasikan layanannya melalui global load balancing dan infrastruktur mitigasi DDoS
- Melalui kerja sama dengan mitra industri, Google mengidentifikasi mekanisme serangan dan mengoordinasikan langkah mitigasi untuk melindungi Google, pelanggan, dan internet secara luas
Cara mitigasi Google dan perlindungan untuk pelanggan Cloud
- Hasil investigasi menunjukkan bahwa serangan menggunakan teknik Rapid Reset yang memanfaatkan fitur multiplexing stream pada protokol HTTP/2 yang banyak digunakan
- Google memitigasi serangan di network edge
- Memanfaatkan investasi kapasitas edge agar layanan Google dan layanan pelanggan pada umumnya tidak terdampak
- Mengembangkan langkah mitigasi setelah memahami metode serangan lebih lanjut
- Memperbarui sistem proxy dan pertahanan penolakan layanan untuk mengurangi teknik ini secara efisien
- Application Load Balancer dan Cloud Armor milik Google Cloud menggunakan infrastruktur hardware dan software yang sama dengan yang dipakai Google untuk menyediakan layanan internet-facing miliknya sendiri
- Aplikasi web dan layanan internet-facing milik pelanggan Cloud yang menggunakan layanan tersebut juga menerima perlindungan serupa
CVE-2023-44487 dan respons bersama industri
- Segera setelah mendeteksi serangan awal pada Agustus, Google menerapkan strategi mitigasi tambahan dan mengoordinasikan respons bersama industri dengan penyedia cloud serta pengelola software yang mengimplementasikan stack protokol HTTP/2
- Selama serangan berlangsung, informasi serangan dan metode mitigasi dibagikan secara real time
- Kolaborasi ini menghasilkan patch dan teknik mitigasi yang digunakan oleh sejumlah penyedia infrastruktur besar
- Metode serangan baru ini beserta potensi kerentanan pada berbagai proxy, application server, dan load balancer open source maupun komersial diungkapkan melalui responsible disclosure bersama
- Kerentanan kolektif terhadap serangan ini dilacak sebagai CVE-2023-44487
- Tingkat keparahan: High
- Skor CVSS: 7.5/10
Pihak yang mungkin terdampak dan tindakan yang diperlukan
- Perusahaan maupun individu yang menyediakan workload berbasis HTTP di internet dapat terekspos pada risiko serangan ini
- Aplikasi web, layanan, dan API di atas server atau proxy yang dapat berkomunikasi melalui HTTP/2 mungkin rentan
- Organisasi harus memeriksa apakah server yang mendukung HTTP/2 tidak rentan
- Jika mengoperasikan atau mengelola server dengan dukungan HTTP/2 sendiri, patch vendor terkait harus diterapkan segera setelah tersedia, baik untuk produk open source maupun komersial
- Patch vendor untuk CVE-2023-44487 merupakan langkah untuk membatasi dampak dari vektor serangan ini
Rekomendasi pertahanan di lingkungan Google Cloud
- Bertahan dari serangan DDoS skala besar itu sulit, dan untuk tetap menjalankan layanan saat menghadapi serangan skala menengah atau lebih besar, terlepas dari status patch, dibutuhkan investasi infrastruktur yang signifikan
- Organisasi yang menjalankan layanan di Google Cloud dapat memanfaatkan investasi kapasitas berskala global dari Cross-Cloud Network untuk menyediakan dan melindungi aplikasi
- Pelanggan Google Cloud yang mengekspos layanan melalui Application Load Balancer global atau regional dilindungi oleh Cloud Armor always-on DDoS protection
- Serangan yang mengeksploitasi kerentanan seperti CVE-2023-44487 dimitigasi dengan cepat
- Meskipun Cloud Armor always-on DDoS protection dapat menyerap sebagian besar dari ratusan juta request per detik di network edge Google, jutaan request tak diinginkan per detik masih dapat lolos
- Untuk menghadapi serangan Layer 7, disarankan menerapkan custom security policies di Cloud Armor, aturan rate limiting yang proaktif, dan Adaptive Protection berbasis AI
- Informasi teknis tentang gelombang serangan DDoS saat ini dapat dilihat di analisis serangan DDoS HTTP/2 Rapid Reset
1 komentar
Komentar Hacker News
The novel HTTP/2 'Rapid Reset' DDoS attack - https://news.ycombinator.com/item?id=37830987
HTTP/2 Zero-Day Vulnerability Results in Record-Breaking DDoS Attacks - https://news.ycombinator.com/item?id=37830998
Meski begitu, jika hasilnya hanya membuat perusahaan teknologi AS dan pelanggannya tidak nyaman selama beberapa jam, saya tetap sulit memahami mengapa ini terus terjadi
Dengan reputasi itu, mereka dibayar oleh klien yang kurang bersih untuk menyerang pesaing; klien itu kadang pemerintah, kadang perusahaan mencurigakan. Tahun lalu, banyak perusahaan kripto saling menyerang situs web
Orang-orang yang melakukan hal seperti ini biasanya punya kemampuan teknis tinggi, tetapi karena tempat tinggal atau lingkungan tumbuhnya, kesempatan menghasilkan uang dari kemampuan itu sering terbatas
Jika penyerangnya tingkat lanjut, mereka sedang menguji kapabilitas dan respons. Taliban dulu membayar anak-anak di luar pangkalan untuk menyalakan petasan demi mengamati taktik, teknik, dan prosedur pertahanan, sekaligus membuat orang menjadi kebal terhadap suara tembakan
Musuh yang benar-benar hebat tahu cara melakukan yang kedua sambil membuatnya terlihat seperti yang pertama
Dalam kasus botnet Mirai, sebagian pembuatnya juga menjalankan perusahaan mitigasi DDoS. Dengan kata lain, mereka menjual senjata di satu sisi, dan menjual pertahanan terhadap senjata itu di sisi lain
Kadang motivasinya adalah reputasi, iseng, atau tantangan membuat botnet itu sendiri
Entah itu menargetkan skala infrastruktur internet atau perusahaan tertentu, saya penasaran apakah ada orang yang pernah terlibat dalam serangan seperti ini yang cukup berani atau cukup gila untuk membuat akun sementara dan menceritakan motivasinya
Mereka bukan bermaksud memperlambat situs target, tetapi mencoba mengambil data dengan laju yang membuat biaya server pelanggan berbayar sungguhan tidak tertahankan
Serangan seperti ini berbeda dari serangan DDoS sungguhan, tetapi menurut pengalaman saya jauh lebih umum, dan bisa dimitigasi relatif mudah dengan sesuatu seperti Cloudflare atau Akamai, jadi saya biasanya menyarankan itu kepada pelanggan
Apakah orang-orang Cloudflare, Google, dan AWS masuk ke rapat video langsung dan saling berkoordinasi untuk mitigasi, atau masing-masing fokus memadamkan masalahnya sendiri sambil mengamati situasi di tempat lain dari jauh?
Kali ini mereka menyadari bahwa semua orang melihat hal yang sama, dan karena dampaknya bisa sangat besar bagi target kecil, mereka bersama-sama memahami masalahnya serta mengoordinasikan respons keamanan dengan semua penyedia web server
Apakah sekadar menyediakan bandwidth masuk yang cukup besar sehingga bisa bertahan saat dihantam beberapa Gb/s, sambil menyisakan kapasitas untuk trafik sah?
Sebagian besar trafik DDoS bukan HTTP sungguhan, melainkan trafik sampah yang mengisi pipa menuju alamat IP. Pipa yang lebih besar dan banyak server yang tersebar secara geografis bisa membantu. Ada juga kasus seperti banjir TCP SYN, yang hanya membuka koneksi TCP hingga port yang tersedia habis. Permintaan tidak normal seperti ini sering kali bisa ditangani oleh beberapa reverse proxy sederhana di depan server
Kueri yang lebih canggih, yang tampak mengirim trafik HTTP normal, pada akhirnya tetap harus diproses. Caranya bisa dengan merespons dari cache, memasang CAPTCHA untuk memperlambat penyerang dan mengidentifikasi trafik normal, atau menerapkan pembatasan laju. Kita ingin menentukan apakah permintaan itu normal sebelum meneruskannya ke server sebenarnya, dan untuk itu berbagai alat dapat diterapkan
Server cukup dikonfigurasi untuk membuang semua trafik yang tidak berasal dari Cloudflare, dan cara ini efisien
Secara umum, trafik antar-datacenter internal Google jauh lebih besar daripada volume yang bisa dikirim siapa pun sebagai DDoS, sehingga selalu ada cara untuk menanganinya
Namun tidak semua DDoS berbasis kapasitas. Ada juga yang menyalahgunakan fungsi dasar protokol, seperti serangan slow loris
https://www.cloudflare.com/learning/ddos/ddos-attack-tools/s...
Dalam kasus ini, caranya mungkin dengan mengenali apakah klien mereset stream dengan cepat, lalu mengirim trafik itu ke jalur lambat atau memfilternya sama sekali
https://blog.cloudflare.com/zero-day-rapid-reset-http2-recor...
“Satu poin penting yang perlu dicatat dari serangan pemecah rekor ini adalah bahwa serangan tersebut melibatkan botnet berukuran sedang yang terdiri dari sekitar 20.000 mesin”
Sepertinya semua penyedia besar bisa melakukan ini, dengan menyisipkan semacam halaman Turnstile kecil sebelum situs Cloudflare berikutnya yang dikunjungi
Kalau ada perangkat yang terinfeksi di jaringan saya, saya ingin mengetahuinya, dan saat ini saya juga tidak punya pemantauan nyata untuk mendeteksinya. Ini bukan solusi lengkap, tetapi setidaknya memberi tahu pengguna bahwa ada masalah adalah awal yang baik