- 2023年8月、Google のサービスと Cloud の顧客は、これまでに報告された Layer 7 攻撃よりはるかに大規模な、新しい HTTP/2 ベースの DDoS 攻撃の標的となった。
- 最大の攻撃は毎秒3億9,800万リクエストを超えたが、その大半は Google のグローバル負荷分散インフラによってネットワークのエッジで遮断された。
- Google の DDoS 対応チームはこの攻撃を精査し、類似の攻撃をさらに緩和するための追加の保護措置を講じた。
- 2021年末以降、Google のサービスと Google Cloud プロジェクトで観測された Layer 7 DDoS 攻撃の大半は HTTP/2 ベースだった。
- HTTP/2 は「ストリーム」を使ってエンドポイント間でさまざまなメッセージ、または「フレーム」を送信するが、これは DDoS 攻撃をより効率的にするために悪用されうる。
- HTTP/2 Rapid Reset 攻撃では、クライアントが一度に大量のストリームを開き、サーバーやプロキシから各リクエストストリームへの応答を待つ代わりに、各リクエストを即座にキャンセルする。
- この攻撃はサーバーとクライアントの間にコストの非対称性を生み出し、サーバー側はキャンセルされたリクエストに対しても相当量の処理を継続しなければならない。
- Rapid Reset 攻撃の亜種も観測されており、一般には初期バージョンほど効率的ではないものの、標準的な HTTP/2 DDoS 攻撃よりは効率的である可能性がある。
- この攻撃ベクトルへの緩和策には複数の形があるが、主に接続統計を追跡し、さまざまなシグナルやビジネスロジックを用いて各接続の有用性を判断することに重点が置かれる。
- Google は現時点で HTTP/3 が大規模 DDoS 攻撃ベクトルとして使われている事例は確認していないが、HTTP/3 サーバー実装には、単一の転送接続によって実行される作業量を制限するメカニズムをあらかじめ実装しておくことを推奨している。
- Google はエコシステム全体でこの新しい HTTP/2 ベクトルに対処するため、協調的な脆弱性公開プロセスを主導的に支援した。
- HTTP/2 サービスを提供するすべてのベンダーは、この問題への露出を評価し、一般的な Web サーバーやプログラミング言語向けのソフトウェアパッチとアップデートをできるだけ早く適用すべきである。
1件のコメント
Hacker Newsの意見