Rapid Reset DDoS-Angriff: Eine neue Gefahr für die Sicherheit im Netz

Im August dieses Jahres wurden viele Google-Dienste und Cloud-Kunden einem DDoS-Angriff ausgesetzt. Dieser Angriff unterschied sich erheblich von den herkömmlichen Attacken die wir gewohnt sind. Die Angreifer operierten auf Basis des HTTP/2-Protokolls und erreichten eine enorme Anfragerate von 398 Millionen pro Sekunde. Diese neue Art des DDoS-Angriffs nutzt eine Schwäche im HTTP/2-Protokoll und verursacht den Angreifern kaum Kosten. Doch wie ebendies funktioniert diese neue Bedrohung und wie kann man sich dagegen schützen?



1. Was ist HTTP/2 und wie funktioniert es für Angriffe?


  • HTTP/2, das seit Ende 2021 weit verbreitet ist, ermöglicht eine effektivere Übertragung von Daten im Internet.
  • Es beruht auf dem Konzept des Stream-Multiplexings, das es Clients erlaubt, mehrere Anfragen über eine einzige TCP-Verbindung zu senden.
  • Normalerweise begrenzen Server die Anzahl solcher gleichzeitiger Anfragen.

2. Der Rapid Reset DDoS-Angriff im Detail


  • Beim Rapid Reset DDoS-Angriff sendet der Angreifer viele Anfragen und bricht diese sofort ab.
  • Die Server müssen trotzdem arbeiten um diese Requests zu bearbeiten.
  • Das Hauptproblem besteht darin, dass die Hacker die Kosten für die Übermittlung der Anfrage nicht tragen, während der Server erhebliche Ressourcen für die Verarbeitung aufbringen muss.
  • Es entsteht eine deutliche Kostenasymmetrie zwischen dem Angreifer und dem Server.

3. Der Rapid Reset DDoS-Angriff im Vergleich zu herkömmlichen DDoS-Angriffen


  • Es gibt verschiedene Varianten dieses DDoS-Angriffs die beobachtet wurden.
  • In einer Version öffnet der Angreifer mehrere Datenströme, wartet eine Weile und bricht dann ab um sofort einen neuen Datenstrom zu öffnen.
  • In einer anderen Variation versucht der Eindringling optimistisch, weiterhin Streams zu öffnen wie der Server zulässt.
  • Beide Varianten ermöglichen effektivere Angriffe als herkömmliche Methoden, ebenso wie der Google-Cloud-Blog in einem aktuellen Beitrag berichtet.

4. Schutzmaßnahmen gegen Rapid Reset DDoS-Angriffe


  • Eine einfache Blockierung von Anfragen reicht bei diesem DDoS-Angriff nicht aus.
  • Wenn ein Angriff erkannt wird, muss die gesamte TCP-Verbindung geschlossen werden.
  • Das HTTP/2-Protokoll verfügt über Mechanismen wie das GOAWAY-Frame um Verbindungen zu schließen.
  • Diese Mechanismen sollten so eingestellt werden. Dass Erstellung von Streams eingeschränkt wird um Angriffe zu stoppen.

5. Google arbeitet an Gegenmaßnahmen


  • Google arbeitet aktiv daran, Gegenmaßnahmen gegen diese Bedrohung zu ausarbeiten (CVE-2023-44487).
  • Sobald die entsprechenden Patches verfügbar sind, sollten alle HTTP/2-Dienstanbieter ihre Systeme aktualisieren und Abwehrmaßnahmen implementieren um sich zu schützen.





Kommentare


Anzeige