अब तक का सबसे बड़ा DDoS हमला, अधिकतम 39.8 करोड़ rps तक पहुँचा
(cloud.google.com)- DDoS हमलों का पैमाना तेज़ी से बढ़ रहा है। इसी बीच Google ने अगस्त 2023 में अधिकतम 39.8 करोड़ rps वाले हमले को निष्प्रभावी किया, जो पिछले वर्ष के 46 million rps रिकॉर्ड से 7.5 गुना बड़ा था
- हमलावरों ने HTTP/2 की stream multiplexing का दुरुपयोग करने वाली Rapid Reset तकनीक का इस्तेमाल किया, जिससे कई internet infrastructure कंपनियाँ प्रभावित हुईं
- हमलों की यह लहर अगस्त 2023 के अंत में शुरू हुई और सितंबर तक जारी रही। Google services, Google Cloud infrastructure और ग्राहकों सहित प्रमुख infrastructure providers इसके निशाने पर थे
- Google ने network edge पर हमले को absorb किया और अपने defense systems को update किया। Application Load Balancer और Cloud Armor ग्राहकों को भी इसी आधारभूत सुरक्षा का लाभ मिला
- HTTP/2 को support करने वाले server, proxy, application server और load balancer CVE-2023-44487 से प्रभावित हो सकते हैं, इसलिए vulnerability की जाँच और vendor patch लागू करना ज़रूरी है
हमले का पैमाना और Rapid Reset तकनीक
- Google की DDoS Response Team ने पुष्टि की कि पिछले कुछ वर्षों में DDoS हमलों का पैमाना घातांकीय रूप से बढ़ रहा है
- अगस्त 2023 में रोका गया हमला पिछले वर्ष के सबसे बड़े रिकॉर्ड से 7.5 गुना बड़ा था
- यह अधिकतम 398 million requests per second(rps) तक पहुँचा
- 2022 में दर्ज सबसे बड़ा DDoS हमला 46 million rps था
- 2 मिनट तक चले इस हमले ने Wikipedia द्वारा सितंबर 2023 के पूरे महीने में रिपोर्ट किए गए कुल page views से भी अधिक requests पैदा कीं
- इसकी मुख्य तकनीक HTTP/2 की stream multiplexing क्षमता का उपयोग करने वाला नया HTTP/2 Rapid Reset था
निशाने और services पर प्रभाव
- हालिया हमलों की लहर अगस्त 2023 के अंत में शुरू हुई और सितंबर भर देखी गई
- हमलों के निशाने में प्रमुख infrastructure providers शामिल थे
- Google services
- Google Cloud infrastructure
- Google ग्राहक
- Google ने global load balancing और DDoS mitigation infrastructure के जरिए services को लगातार चालू रखा
- industry partners के साथ सहयोग के माध्यम से हमले की कार्यप्रणाली समझी गई और Google, उसके ग्राहकों तथा व्यापक internet ecosystem की सुरक्षा के लिए mitigation उपाय समन्वित किए गए
Google की mitigation पद्धति और Cloud ग्राहकों की सुरक्षा
- जाँच में पाया गया कि हमले में व्यापक रूप से इस्तेमाल होने वाले HTTP/2 protocol की stream multiplexing क्षमता का उपयोग करने वाली Rapid Reset तकनीक अपनाई गई थी
- Google ने network edge पर हमले को mitigate किया
- edge capacity में निवेश का उपयोग कर Google services और customer services को अधिकांशतः अप्रभावित रखा गया
- हमले की पद्धति को और समझने के बाद mitigation उपाय विकसित किए गए
- proxy और denial-of-service defense systems को update कर इस तकनीक का प्रभावी रूप से असर कम किया गया
- Google Cloud का Application Load Balancer और Cloud Armor वही hardware और software infrastructure इस्तेमाल करते हैं, जिनका उपयोग Google अपनी internet-facing services देने के लिए करता है
- इन services का उपयोग करने वाले Cloud ग्राहकों के internet-facing web apps और services को भी इसी तरह की सुरक्षा मिलती है
CVE-2023-44487 और industry की संयुक्त प्रतिक्रिया
- Google ने अगस्त के शुरुआती हमलों का पता चलते ही अतिरिक्त mitigation strategy लागू की और HTTP/2 protocol stack को implement करने वाले cloud providers तथा software maintainers के साथ industry-wide coordinated response का समन्वय किया
- हमले के दौरान attack intelligence और mitigation methods को real time में साझा किया गया
- इस सहयोग से कई बड़े infrastructure providers द्वारा उपयोग किए जाने वाले patch और mitigation techniques सामने आए
- नई attack method तथा कई सामान्य open source और commercial proxy, application server और load balancer की संभावित vulnerabilities को coordinated disclosure के तहत सार्वजनिक किया गया
- इस हमले से जुड़ी सामूहिक vulnerability को CVE-2023-44487 के रूप में track किया जा रहा है
- severity High है
- CVSS score 7.5/10 है
कौन प्रभावित हो सकता है और क्या कार्रवाई ज़रूरी है
- internet पर HTTP-आधारित workloads उपलब्ध कराने वाले enterprise या individual इस हमले के जोखिम में हो सकते हैं
- HTTP/2 पर संचार करने वाले server या proxy के ऊपर चलने वाले web application, service और API vulnerable हो सकते हैं
- संगठनों को यह जाँचना चाहिए कि HTTP/2 को support करने वाले उनके server vulnerable तो नहीं हैं
- यदि आप स्वयं HTTP/2-supporting server चलाते या manage करते हैं, तो open source या commercial होने की परवाह किए बिना संबंधित vendor patch उपलब्ध होते ही लागू करना चाहिए
- CVE-2023-44487 के लिए vendor patch इस attack vector के प्रभाव को सीमित करने का उपाय है
Google Cloud वातावरण के लिए सुरक्षा सिफारिशें
- बड़े पैमाने के DDoS हमलों से बचाव कठिन है, और patch होने या न होने से अलग, medium से बड़े हमलों के दौरान services को चालू रखने के लिए पर्याप्त infrastructure investment की ज़रूरत होती है
- Google Cloud पर services चलाने वाले संगठन Cross-Cloud Network की global-scale capacity investments का उपयोग करके applications को deliver और protect कर सकते हैं
- जो Google Cloud ग्राहक अपनी services को global या regional Application Load Balancer के माध्यम से expose करते हैं, उन्हें Cloud Armor always-on DDoS protection की सुरक्षा मिलती है
- CVE-2023-44487 जैसी vulnerabilities का दुरुपयोग करने वाले हमले तेज़ी से mitigate किए जाते हैं
- भले ही Cloud Armor always-on DDoS protection Google network edge पर प्रति सेकंड सैकड़ों मिलियन requests का अधिकांश हिस्सा absorb कर सके, फिर भी प्रति सेकंड लाखों unwanted requests आगे निकल सकती हैं
- Layer 7 हमलों से निपटने के लिए Cloud Armor की custom security policies, proactive rate limiting rules, और AI-आधारित Adaptive Protection deployment की सिफारिश की जाती है
- मौजूदा DDoS हमलों की इस लहर पर तकनीकी जानकारी HTTP/2 Rapid Reset DDoS हमला विश्लेषण में देखी जा सकती है
1 टिप्पणियां
Hacker News की राय
The novel HTTP/2 'Rapid Reset' DDoS attack - https://news.ycombinator.com/item?id=37830987
HTTP/2 Zero-Day Vulnerability Results in Record-Breaking DDoS Attacks - https://news.ycombinator.com/item?id=37830998
फिर भी अगर नतीजा सिर्फ इतना है कि अमेरिकी tech companies और customers को कुछ घंटों तक असुविधा हो, तो समझ नहीं आता कि यह बार-बार क्यों होता रहता है
उस reputation के दम पर वे ऐसे कम साफ-सुथरे clients से पैसे लेते हैं जो अपने competitors पर हमला करवाना चाहते हैं; कभी वह client सरकार होती है, कभी कोई suspicious company। पिछले साल crypto companies के एक-दूसरे की websites पर हमले करने के बहुत मामले थे
ऐसे काम करने वाले लोग तकनीकी रूप से काफी सक्षम होते हैं, लेकिन वे जहां रहते हैं या जिस माहौल में बड़े हुए हैं, उसकी वजह से उस skill से पैसा कमाने के मौके अक्सर कम होते हैं
अगर attacker advanced है तो वह अपनी capability और response test कर रहा है। Taliban पहले base के बाहर बच्चों को पटाखे फोड़ने के लिए पैसे देते थे ताकि defense tactics, techniques और procedures देख सकें, और इससे लोगों को गोलियों की आवाज़ के प्रति सुन्न करने का असर भी होता था
सच में बेहतरीन दुश्मन बाद वाला काम करते हुए खुद को पहले जैसा दिखाना जानता है
Mirai botnet के मामले में इसके कुछ creators DDoS mitigation company भी चलाते थे। यानी एक तरफ वे हथियार बेच रहे थे, दूसरी तरफ उसी हथियार से बचाव बेच रहे थे
कभी-कभी motivation reputation, prank, या botnet बनाने की challenge ही होती है
चाहे बात internet infrastructure scale की हो या किसी खास company को target करने की, सोचता हूं क्या कोई ऐसा व्यक्ति, जो ऐसे हमलों में शामिल रहा हो, इतना बहादुर या पागल होगा कि temporary account बनाकर motivation बता दे
उनका इरादा target site को धीमा करना नहीं था, लेकिन वे real paying customers की तुलना में ऐसी speed से data लेना चाहते थे कि server cost संभल न सके
ऐसे हमले actual DDoS attacks से अलग हैं, लेकिन मेरे अनुभव में कहीं ज्यादा आम हैं, और Cloudflare या Akamai जैसी चीज़ों से अपेक्षाकृत आसानी से mitigate किए जा सकते हैं, इसलिए मैं customers को यही सलाह देता हूं
क्या Cloudflare, Google, AWS के लोग real-time video call में आकर आपस में coordinate करते हुए mitigation करते हैं, या फिर हर कोई दूर से दूसरे की स्थिति देखते हुए अपनी problem solve करने पर focus करता है?
इस बार सबको एहसास हुआ कि वे एक ही चीज़ देख रहे हैं, और छोटे targets पर इसका असर बहुत बड़ा हो सकता है, इसलिए समस्या को साथ मिलकर समझा गया और सभी web server providers के साथ security response coordinate किया गया
क्या यह बस इतना है कि पर्याप्त बड़ा incoming bandwidth हो ताकि कुछ Gb/s झेल सकें और legitimate traffic के लिए spare capacity बची रहे?
काफी DDoS ट्रैफिक असल HTTP नहीं होता, बल्कि IP address की ओर पाइप भरने वाला बेकार ट्रैफिक होता है। बड़े पाइप और भौगोलिक रूप से फैले कई servers मदद करते हैं। TCP SYN flood की तरह ऐसे मामले भी होते हैं जहां सिर्फ TCP connections खोलकर उपलब्ध ports खत्म कर दिए जाते हैं। ऐसे असामान्य requests अक्सर server के front-end पर लगे कई सरल reverse proxies से संभाले जा सकते हैं
बाहर से सामान्य दिखने वाला HTTP traffic भेजने वाली ज्यादा sophisticated queries को अंततः process करना ही पड़ता है। जैसे cache से response देना, attackers को धीमा करने और normal traffic की पहचान के लिए CAPTCHA लगाना, या rate limiting लागू करना। असली server तक भेजने से पहले यह तय करना चाहते हैं कि request normal है या नहीं, और इसके लिए कई tools deploy किए जा सकते हैं
server को इस तरह configure कर दें कि Cloudflare से आया traffic छोड़कर बाकी सब drop हो जाए, और यह तरीका efficient है
आम तौर पर Google के internal data centers के बीच का traffic उस मात्रा से कहीं बड़ा होता है जो कोई DDoS में भेज सकता है, इसलिए उसे handle करने का कोई न कोई तरीका हमेशा मिल जाता है
लेकिन हर DDoS capacity-based नहीं होता। slow loris attack की तरह protocol की basic functionality का दुरुपयोग करने वाले मामले भी होते हैं
https://www.cloudflare.com/learning/ddos/ddos-attack-tools/s...
इस मामले में यह तरीका हो सकता है कि client stream को तेजी से reset कर रहा है या नहीं, इसे पहचानकर उस traffic को slow lane में भेज दिया जाए या पूरी तरह filter कर दिया जाए
https://blog.cloudflare.com/zero-day-rapid-reset-http2-recor...
“record-breaking attack के बारे में एक मुख्य बात यह है कि इसमें लगभग 20,000 machines वाले medium-sized botnet की भागीदारी थी”
बड़े providers सभी ऐसा करें, तो अगली बार किसी Cloudflare site पर जाने से पहले एक छोटा Turnstile जैसा page बीच में डाला जा सकता है
अगर मेरे network में कोई infected device है तो मैं जानना चाहूंगा, और अभी इसे detect करने के लिए कोई वास्तविक monitoring भी नहीं है। यह पूरा solution नहीं है, लेकिन कम से कम user को यह बताना कि समस्या है, एक अच्छी शुरुआत है