- Google a absorbé une attaque DDoS d’une ampleur inédite atteignant 398 millions de requêtes par seconde.
- Pendant les 2 minutes de l’attaque, le nombre total de requêtes a dépassé le trafic mensuel de Wikipédia.
- Cette attaque a été rendue possible par Rapid Reset, une nouvelle vulnérabilité d’HTTP/2.
- Elle exploite le multiplexage des flux et la fonctionnalité d’annulation de requêtes du fonctionnement d’HTTP/2.
- Un seul client peut générer un nombre illimité de requêtes, dans la limite de la bande passante réseau disponible.
- En temps normal, les attaques DoS de couche 7 dépendent du RTT et du nombre de connexions simultanées, ce qui limite la capacité d’un client à produire un grand volume de requêtes.
- Mais avec cette méthode, il est possible d’émettre des requêtes très rapidement en les annulant immédiatement après leur création.
- Contrairement aux précédentes attaques DDoS records, celle-ci peut être très efficace avec un nombre réduit d’appareils.
- Cette vulnérabilité est documentée sous CVE-2023-44487 et a un score CVSS de 7,5, ce qui la classe comme sévère.
- D’autres fournisseurs, comme Cloudflare et AWS, ont également subi des attaques DDoS atteignant respectivement 201 millions de RPS et 155 millions de RPS.
- Cloudflare a indiqué que l’attaque provenait d’un botnet d’environ 20 000 machines.
- Les attaques DDoS massives précédentes impliquaient généralement des botnets de plusieurs dizaines de milliers à plusieurs millions de machines.
- Des serveurs web comme Nginx et Caddy déploient rapidement des correctifs.
1 commentaires
Près de 400 millions de requêtes par seconde... c'est vraiment terrifiant.
Il s'agissait d'une vulnérabilité dans des implémentations de HTTP/2, et il faut reconnaître que Google, Cloudflare, AWS et d'autres ont fait un travail impressionnant pour l'atténuer.
Ce qui m'étonne le plus, c'est que HAProxy a résolu ce problème dès 2018.
Ils n'avaient pas identifié ni corrigé cette vulnérabilité en tant que telle à l'époque, mais en réexaminant le sujet plus tard, ils ont constaté qu'un problème soulevé en 2018 contenait déjà l'idée qui permettait de corriger cette vulnérabilité.
Quoi qu'il en soit, si vous utilisez un serveur web, pensez à le mettre à jour vers une version où cette vulnérabilité a été corrigée.