Im August dieses Jahres wurden viele Google-Dienste und Cloud-Kunden einem DDoS-Angriff ausgesetzt. Dieser Angriff unterschied sich erheblich von den herkömmlichen Attacken die wir gewohnt sind. Die Angreifer operierten auf Basis des HTTP/2-Protokolls und erreichten eine enorme Anfragerate von 398 Millionen pro Sekunde. Diese neue Art des DDoS-Angriffs nutzt eine Schwäche im HTTP/2-Protokoll und verursacht den Angreifern kaum Kosten. Doch wie ebendies funktioniert diese neue Bedrohung und wie kann man sich dagegen schützen?
1. Was ist HTTP/2 und wie funktioniert es für Angriffe?
- HTTP/2, das seit Ende 2021 weit verbreitet ist, ermöglicht eine effektivere Übertragung von Daten im Internet.
- Es beruht auf dem Konzept des Stream-Multiplexings, das es Clients erlaubt, mehrere Anfragen über eine einzige TCP-Verbindung zu senden.
- Normalerweise begrenzen Server die Anzahl solcher gleichzeitiger Anfragen.
2. Der Rapid Reset DDoS-Angriff im Detail
- Beim Rapid Reset DDoS-Angriff sendet der Angreifer viele Anfragen und bricht diese sofort ab.
- Die Server müssen trotzdem arbeiten um diese Requests zu bearbeiten.
- Das Hauptproblem besteht darin, dass die Hacker die Kosten für die Übermittlung der Anfrage nicht tragen, während der Server erhebliche Ressourcen für die Verarbeitung aufbringen muss.
- Es entsteht eine deutliche Kostenasymmetrie zwischen dem Angreifer und dem Server.
3. Der Rapid Reset DDoS-Angriff im Vergleich zu herkömmlichen DDoS-Angriffen
- Es gibt verschiedene Varianten dieses DDoS-Angriffs die beobachtet wurden.
- In einer Version öffnet der Angreifer mehrere Datenströme, wartet eine Weile und bricht dann ab um sofort einen neuen Datenstrom zu öffnen.
- In einer anderen Variation versucht der Eindringling optimistisch, weiterhin Streams zu öffnen wie der Server zulässt.
- Beide Varianten ermöglichen effektivere Angriffe als herkömmliche Methoden, ebenso wie der Google-Cloud-Blog in einem aktuellen Beitrag berichtet.
4. Schutzmaßnahmen gegen Rapid Reset DDoS-Angriffe
- Eine einfache Blockierung von Anfragen reicht bei diesem DDoS-Angriff nicht aus.
- Wenn ein Angriff erkannt wird, muss die gesamte TCP-Verbindung geschlossen werden.
- Das HTTP/2-Protokoll verfügt über Mechanismen wie das GOAWAY-Frame um Verbindungen zu schließen.
- Diese Mechanismen sollten so eingestellt werden. Dass Erstellung von Streams eingeschränkt wird um Angriffe zu stoppen.
5. Google arbeitet an Gegenmaßnahmen
- Google arbeitet aktiv daran, Gegenmaßnahmen gegen diese Bedrohung zu ausarbeiten (CVE-2023-44487).
- Sobald die entsprechenden Patches verfügbar sind, sollten alle HTTP/2-Dienstanbieter ihre Systeme aktualisieren und Abwehrmaßnahmen implementieren um sich zu schützen.
Kommentare