谷歌、AWS 和 Cloudflare 三家公司周二發布公告稱,它們阻止了據稱有史以來最大的 DDoS 攻擊。
這次攻擊是由一個新的 DDoS 漏洞(編号爲 CVE-2023-44487)引起的,涉及 HTTP/2 協議,用于互聯網上傳輸文件的一套标準化規則。美國國家标準與技術研究所(NIST)官網上的漏洞頁面介紹說到:"HTTP/2 協議之所以允許拒絕服務(服務器資源消耗),是由于請求取消可以快速重置許多請求流。"
作爲多方協調披露的一部分,谷歌雲、亞馬遜網絡服務(AWS)和 Cloudflare 都發布了博文和公告,提供了有關這條 DDoS 攻擊途徑的更多技術信息。在谷歌發布的兩篇博文中的一篇中,這家科技巨頭稱之爲 " 迄今爲止最大的 DDoS 攻擊,峰值時期每秒超過 3.98 億個請求。"
在 Cloudflare 的技術分析博文中,它追蹤到峰值時期每秒超過 2.01 億個請求,幾乎是之前觀察到的創紀錄攻擊的三倍。
Cloudflare 的兩名工程師 Lucas Pardue 和 Julien Desgats 寫道:" 令人擔憂的是,攻擊者僅用 2 萬台機器組成的僵屍網絡就能發動這等規模的攻擊。現在的僵屍網絡由數十萬乃至數百萬台機器組成。考慮到整個互聯網通常每秒隻出現 10 億到 30 億個請求,可想而知,使用這種方法可以将整個互聯網的請求都集中在少數目标上。"
在另一篇博文中,谷歌的兩名工程師 Juho Snellman 和 Daniele Iamartino 專門介紹了這起攻擊和攻擊途徑的工作原理。他們寫道,這次名爲 Rapid Reset(" 快速重置 ")的攻擊持續了幾個月,在 8 月份達到了高峰。
博文作者說道,自 2021 年底以來,谷歌服務遭到的大多數應用層或第 7 層 DDoS 攻擊基于 HTTP/2," 無論從攻擊數量來看還是從峰值請求速率來看 "。
谷歌表示,HTTP/2 攻擊之所以占主導地位,是由于這種協議能夠以多路并發 " 流 " 的方式處理請求,而不是像 HTTP/1.1 那樣需要按順序處理請求。正因爲如此,HTTP/2 攻擊能夠執行的并發請求數量比利用舊協議的攻擊多得多。
就快速重置 DDoS 而言,攻擊客戶端 " 像在标準的 HTTP/2 攻擊中一樣,一次性打開大量的請求流,但客戶端不是等待服務器或代理對每個請求流作出響應,而是立即取消每個請求。"
更多的技術細節可以在谷歌、Cloudflare 和亞馬遜的博文中找到。
谷歌認爲,其負載均衡基礎設施 " 基本上 " 在其網絡的邊緣設法阻止了快速重置攻擊,防止任何中斷。亞馬遜表示,AWS 在 " 短短幾分鍾内 " 确定了攻擊的性質,其 CloudFront 内容分發網絡自動化解了攻擊。
與此同時,Cloudflare 表示,它看到了 502 錯誤和請求數量激增,但通過改變其技術堆棧和技術故障中詳細說明的緩解措施,迅速做出了反應。
關于緩解措施,谷歌表示,阻止單個請求還不夠,一旦發現濫用情況,就需要關閉整條 TCP 連接,更廣泛的緩解包括跟蹤分析連接統計數據以及基于各種信号爲 GOAWAY 幀類型的内置 HTTP/2 緩解優先考慮連接。這三家供應商還都實施了另外的内部檢測和緩解措施。
Pardue 和 Desgats 在 Cloudflare 的博文中警告,CVE-2023-44487 和快速重置攻擊的風險普遍存在。他們寫道:" 由于攻擊濫用了 HTTP/2 協議的底層弱點,我們相信任何實施了 HTTP/2 的供應商都将受到攻擊。這包括每一台現代 Web 服務器。"
Forster 說:" 組織必須将事件管理、打補丁和完善安全保護措施變成一種持續的過程。針對每個漏洞變體的補丁降低了風險,但并不總是完全消除風險。在這種情況下,Cloudflare 開發了專門的技術以緩解零日漏洞的影響。"
