Nouvelle attaque DDoS HTTP/2 « Rapid Reset »

 (cloud.google.com)
1 points par GN⁺ 2023-10-11 | 1 commentaires | Partager sur WhatsApp
  • En août 2023, les services de Google et les clients de Cloud ont été visés par une nouvelle attaque DDoS basée sur HTTP/2, bien plus importante que les attaques de couche 7 signalées auparavant.
  • La plus grande attaque a dépassé 398 millions de requêtes par seconde, mais elle a été en grande partie bloquée à la périphérie du réseau par l’infrastructure mondiale d’équilibrage de charge de Google.
  • L’équipe de réponse DDoS de Google a examiné l’attaque et pris des mesures de protection supplémentaires afin de mieux atténuer des attaques similaires.
  • Depuis fin 2021, la plupart des attaques DDoS de couche 7 observées sur les services Google et les projets Google Cloud reposaient sur HTTP/2.
  • HTTP/2 utilise des « flux » pour transmettre divers messages ou « frames » entre les endpoints, ce qui peut être exploité pour rendre les attaques DDoS plus efficaces.
  • L’attaque HTTP/2 Rapid Reset consiste pour un client à ouvrir simultanément un grand nombre de flux puis, au lieu d’attendre la réponse du serveur ou du proxy pour chaque flux de requête, à annuler immédiatement chaque requête.
  • Cette attaque crée une asymétrie de coût exploitable entre le serveur et le client, le serveur devant continuer à effectuer un travail important pour des requêtes annulées.
  • Des variantes de l’attaque Rapid Reset ont été observées ; elles sont généralement moins efficaces que la version initiale, mais peuvent rester plus efficaces que les attaques DDoS HTTP/2 classiques.
  • Les mesures d’atténuation de ce vecteur d’attaque peuvent prendre plusieurs formes, mais elles se concentrent principalement sur le suivi des statistiques de connexion et l’utilisation de divers signaux et d’une logique métier pour évaluer l’utilité de chaque connexion.
  • Google n’observe pas actuellement HTTP/3 utilisé comme vecteur d’attaque DDoS à grande échelle, mais recommande aux implémentations serveur HTTP/3 d’intégrer à l’avance des mécanismes limitant la charge de travail qu’une seule connexion de transport peut provoquer.
  • Google a contribué de manière proactive à piloter un processus coordonné de divulgation de vulnérabilité afin de traiter ce nouveau vecteur HTTP/2 dans l’ensemble de l’écosystème.
  • Tous les fournisseurs proposant des services HTTP/2 doivent évaluer leur exposition à ce problème et appliquer dès que possible les correctifs logiciels et mises à jour des serveurs web et langages de programmation courants.

À lire aussi

1 commentaires

 
GN⁺ 2023-10-11
Avis Hacker News
  • Article sur un nouveau type d’attaque DDoS appelé « Rapid Reset »
  • Discussion en cours sur la plus grande attaque DDoS à ce jour et la vulnérabilité Zero-Day de HTTP/2
  • Le fait que l’équipe haproxy avait identifié et atténué un problème similaire lié à HTTP/2 dès 2018
  • Certains utilisateurs critiquent Google pour avoir créé HTTP/2, puis se présenter comme le sauveur face à un problème qu’ils ont eux-mêmes créé
  • La manière dont l’attaque exploite l’asymétrie des coûts dans l’implémentation serveur de HTTP/2
  • La surprise de certains utilisateurs que cette vulnérabilité n’ait pas été anticipée lors de la conception de HTTP/2, compte tenu des attaques par amplification déjà connues dans d’autres protocoles
  • Le point de vue selon lequel cette attaque est une conséquence de la nécessité de HTTP/2 pour livrer plus vite des publicités, des trackers et des frameworks frontend volumineux
  • Les inquiétudes de certains utilisateurs au sujet de vulnérabilités potentielles dans HTTP/3 et QUIC, étant donné que ce type d’attaque apparaît 10 ans après l’arrivée de HTTP/2
  • Microsoft a publié les détails du correctif pour cette vulnérabilité
  • Certains utilisateurs ont constaté que l’en-tête du blog restait affiché en permanence, rendant la page illisible
  • Demande d’explication sur ce qui rend cette attaque nouvelle, au-delà d’un simple flood de requêtes