- Googleは毎秒3億9800万件のリクエストが到達する、過去最大規模のDDoSを処理した。
- 攻撃が行われた2分間に発生したリクエスト数は、Wikipediaの1か月分のトラフィックを上回る。
- この攻撃は、HTTP/2の新たな脆弱性であるRapid Resetによって発生した。
- HTTP/2の動作方式に従い、ストリームのマルチプレクシングとリクエストのキャンセル機能を利用する。
- 1つのクライアントから、ネットワーク帯域幅が許す限り無限に近い数のリクエストを生成できる。
- 本来、レイヤー7 DoS攻撃はRTTや同時接続数に依存するため、1つのクライアントが大量のリクエストを生成するには制約がある。
- しかしこの方法では、リクエスト生成後に即座にキャンセルする過程を通じて、非常に高速にリクエストを生成できる。
- 従来の過去最大規模DDoSとは異なり、少数のデバイスでも効果的な攻撃が可能である。
- この脆弱性はCVE-2023-44487で確認でき、CVSSスコアは7.5で深刻な水準。
- 他のベンダーであるCloudflareとAWSも、それぞれ2億100万RPSと1億5500万RPSのDDoS攻撃を受けた。
- Cloudflareは、約2万台のボットネットによって攻撃が発生したと明らかにした。
- 従来の巨大規模DDoSは、数十万〜数百万台のボットネットによって発生していた。
- Nginx、CaddyなどのWebサーバーは迅速にパッチを進めている。
1件のコメント
秒間リクエスト数がほぼ4億回とは…本当に恐ろしいですね。
HTTP/2実装に脆弱性があったわけですが、これを緩和したGoogle、Cloudflare、AWSなどもさすがです。
いちばん興味深いのは、HAProxyが2018年にこの問題を解決していた点のように思います。
当時この脆弱性を特定して修正したわけではありませんが、後になって見直すと、2018年に提起された問題がこの脆弱性を解決するアイデアだったそうです。
とにかくWebサーバーを使っている方は、この脆弱性が修正されたバージョンにアップデートすることをおすすめします。