Serangan DDoS 'Rapid Reset' HTTP/2 yang baru

 (cloud.google.com)
1 poin oleh GN⁺ 2023-10-11 | 1 komentar | Bagikan ke WhatsApp
  • Pada Agustus 2023, layanan Google dan pelanggan Cloud menjadi target serangan DDoS berbasis HTTP/2 baru yang jauh lebih besar dibanding serangan Layer 7 yang pernah dilaporkan sebelumnya.
  • Serangan terbesar melampaui 398 juta permintaan per detik, tetapi sebagian besar diblokir di tepi jaringan oleh infrastruktur load balancing global Google.
  • Tim respons DDoS Google meninjau serangan tersebut dan mengambil langkah perlindungan tambahan untuk lebih memitigasi serangan serupa.
  • Sejak akhir 2021, sebagian besar serangan DDoS Layer 7 yang diamati pada layanan Google dan project Google Cloud berbasis HTTP/2.
  • HTTP/2 menggunakan "stream" untuk mengirim berbagai pesan atau "frame" antar endpoint, dan ini dapat digunakan untuk membuat serangan DDoS lebih efisien.
  • Serangan HTTP/2 Rapid Reset melibatkan klien yang membuka sejumlah besar stream sekaligus, lalu segera membatalkan setiap permintaan alih-alih menunggu respons untuk tiap stream permintaan dari server atau proxy.
  • Serangan ini menciptakan asimetri biaya yang menguntungkan penyerang antara server dan klien, karena server masih harus terus melakukan pekerjaan yang signifikan untuk permintaan yang telah dibatalkan.
  • Variasi dari serangan Rapid Reset telah diamati, yang umumnya tidak seefisien versi awalnya, tetapi bisa lebih efisien daripada serangan DDoS HTTP/2 standar.
  • Langkah mitigasi untuk vektor serangan ini dapat dilakukan dalam beberapa bentuk, tetapi terutama berfokus pada pelacakan statistik koneksi dan penggunaan berbagai sinyal serta logika bisnis untuk menilai kegunaan tiap koneksi.
  • Google saat ini tidak melihat HTTP/3 digunakan sebagai vektor DDoS skala besar, tetapi merekomendasikan agar implementasi server HTTP/3 lebih dulu menerapkan mekanisme yang membatasi jumlah pekerjaan yang dapat dipicu oleh satu koneksi transport.
  • Google secara proaktif membantu memimpin proses pengungkapan kerentanan terkoordinasi untuk menangani vektor HTTP/2 baru ini di seluruh ekosistem.
  • Semua penyedia yang menawarkan layanan HTTP/2 harus menilai paparan mereka terhadap masalah ini dan sesegera mungkin menerapkan patch perangkat lunak serta pembaruan untuk server web umum dan bahasa pemrograman.

Bacaan terkait

1 komentar

 
GN⁺ 2023-10-11
Pendapat Hacker News
  • Artikel tentang jenis baru serangan DDoS yang disebut 'Rapid Reset'
  • Diskusi yang terus berlanjut tentang serangan DDoS terbesar sejauh ini dan kerentanan Zero-Day HTTP/2
  • Fakta bahwa pada 2018 tim haproxy telah mengidentifikasi dan memitigasi masalah serupa yang berkaitan dengan HTTP/2
  • Beberapa pengguna mengkritik Google karena membuat HTTP/2 lalu menampilkan diri mereka sebagai penyelamat dari masalah yang mereka ciptakan
  • Cara serangan ini memanfaatkan asimetri biaya dalam implementasi server HTTP/2
  • Sebagian pengguna terkejut bahwa kerentanan ini tidak diperkirakan dalam proses perancangan HTTP/2, mengingat serangan amplifikasi yang sudah dikenal pada protokol lain
  • Pandangan bahwa serangan ini merupakan akibat dari kebutuhan HTTP/2 untuk mengirimkan iklan, pelacak, dan framework frontend yang besar dengan lebih cepat
  • Mengingat jenis serangan ini baru muncul 10 tahun setelah keberadaan HTTP/2, sebagian pengguna khawatir tentang potensi kerentanan di HTTP/3 dan QUIC
  • Microsoft merilis detail patch untuk kerentanan ini
  • Sebagian pengguna menemukan bahwa header blog terus muncul sehingga halaman tidak bisa dibaca
  • Permintaan penjelasan tentang hal baru dari serangan ini dibanding sekadar banjir permintaan biasa