HTTP/2 零時差漏洞導致破紀錄的 DDoS 攻擊,資安防禦革新的7大建議

早些時候,Cloudflare以及Google和亞馬遜AWS披露了一個名為HTTP / 2 Rapid Reset攻擊的新型零時差漏洞的存在。此攻擊利用 HTTP/2 協定中的一個弱點生成巨大的超容量分散式拒絕服務 (DDoS) 攻擊。最近幾個月,Cloudflare 已經緩解了一連串的攻擊,其中包括比我們之前觀察到的任何攻擊都要大三倍的攻擊,該攻擊超過了每秒 2.01 億個請求 (rps)。
2023-10-11
by 樂雲

早些時候,Cloudflare以及Google和亞馬遜AWS披露了一個名為HTTP / 2 Rapid Reset攻擊的新型零時差漏洞的存在。此攻擊利用 HTTP/2 協定中的一個弱點生成巨大的超容量分散式拒絕服務 (DDoS) 攻擊。最近幾個月,Cloudflare 已經緩解了一連串的攻擊,其中包括比我們之前觀察到的任何攻擊都要大三倍的攻擊,該攻擊超過了每秒 2.01 億個請求 (rps)。


這種零時差漏洞為威脅者提供了一個重要的新工具,他們能以前所未有的規模利用和攻擊受害者。雖然有時複雜且難以應對,但這些攻擊使 Cloudflare 有機會開發專用技術來減輕零日漏洞的影響。如果您使用 Cloudflare 進行 HTTP DDoS 緩解,您將受到保護。
 

什麼是零時差漏洞呢?
 

零時差漏洞(Zero-Day Vulnerability)是指軟體、韌體或硬體設計當中已被公開揭露但廠商卻仍未修補的缺失、弱點或錯誤。攻擊者可以利用這些漏洞來入侵系統或者軟體應用進行攻擊。零時差漏洞對於安全性要求高的系統或應用非常危險,因為此類漏洞難以被預防或發現,一旦被攻擊成功很可能會造成巨大的損失。通常,未修補的漏洞在廠商釋出修補更新之前,就是一場駭客與廠商之間的競賽,前者試圖開發漏洞攻擊手法,後者則試圖修補漏洞。
 

HTTP/2 Rapid Reset 攻擊


這是一種利用 HTTP/2 協定的弱點產生巨量的分散式阻斷服務 (DDoS) 攻擊的漏洞。Cloudflare 在近幾個月內抵禦了一連串這種攻擊,其中一次的攻擊流量超過了 201 百萬請求每秒 (rps),是之前任何攻擊的三倍。
 


攻擊原理與影響


這種攻擊利用 HTTP/2 的流取消功能,不斷地發送請求並立即取消。這樣可以造成服務器或應用程序的拒絕服務。這種攻擊還涉及一個規模不大的殭屍網路,約有 2 萬台機器。這意味著這種漏洞對於沒有保護的網路是非常危險的。
 

解構攻擊:每個安全長都需要知道的事
 

2023年8月下旬,Cloudflare的團隊注意到一個新的零時差漏洞,該漏洞由未知的威脅參與者開發,該漏洞利用標準 HTTP/2協定—一種對互聯網和所有網站的工作方式至關重要的基本協定。這種新穎的零時差漏洞攻擊被稱為快速重置,通過發送請求並立即一遍又一遍地取消它來利用HTTP / 2的流取消功能。

 

通過大規模自動化這種微不足道的「請求、取消、請求、取消」模式,威脅參與者能夠創建拒絕服務並關閉運行 HTTP/2 標準實現的任何伺服器或應用程式。此外,關於破紀錄的攻擊,需要注意的一件關鍵事情是,它涉及一個中等規模的殭屍網路,由大約20,000台機器組成。Cloudflare 會定期檢測比這大幾個數量級的殭屍網路—包括數十萬甚至數百萬台機器。


這意味著在今天之後,威脅者將在很大程度上意識到HTTP / 2漏洞;利用和啟動防守方和進攻方之間的競賽將不可避免,唯有首先修補與首先利用。組織應假設系統將進行測試,並採取主動措施來確保保護。
 

防禦與披露
 

Cloudflare 團隊將不斷開發專門技術來阻止這種 DDoS 攻擊,並提高用戶的防禦能力。如果您使用 Cloudflare,您就受到了保護。Cloudflare 團隊還通知了網頁服務應用合作夥伴,他們正在開發修補程式來修復這個漏洞。Cloudflare 團隊還與行業同行合作,共同保護網路安全。
 

對於新型態資安防禦革新的建議

 

雖然沒有一個安全事件與下一個安全事件完全相同,但可以吸取一些教訓。會建議以下措施:

  1. 瞭解外部和合作夥伴網路的外部連結,以使用緩解措施修正任何面向 Internet 的系統。

  2. 瞭解您現有的安全保護和功能,以保護、檢測和回應攻擊,並立即修復網路中遇到的任何問題。

  3. 確保您的 DDoS 防護位於資料中心之外,因為如果流量到達您的數據中心,將很難緩解 DDoS 攻擊。

  4. 確保為應用程式提供 DDoS 保護(第 7 層),並確保具有 Web 應用程式防火牆。此外,作為最佳實踐,請確保您對 DNS、網路流量(第 3 層)和 API 防火牆具有完整的 DDoS 保護。

  5. 確保在所有面向網路的 Web 伺服器上部署 Web 伺服器和作業系統修補程式。此外,請確保所有自動化(如 Terraform 構建和映射)都已完全修補,以便舊版本的 Web 伺服器不會意外地通過安全映射部署到生產中。

  6. 作為最後的手段,請考慮關閉HTTP / 2和HTTP / 3(也可能容易受到攻擊)以減輕威脅。這是最後的手段,因為如果您降級到 HTTP/1.1,將會出現嚴重的性能問題。

  7. 考慮在週邊使用基於雲的輔助 DDoS L7 提供者來增加抵抗力。


樂雲智能提供資安與公有雲等服務,合作夥伴包括 Cloudflare、AWS 和 GCP 等,可以整合資源,提供完整的資安解決方案,協助數位轉型並強化提升資安防禦,用最專業的技術服務,站在客戶角度出發給予最佳產品解決方案。如果您對於相關內容或如何協助資安升級有疑問,歡迎與我們聯繫洽詢!