नया HTTP/2 'Rapid Reset' DDoS हमला

 (cloud.google.com)
1 पॉइंट द्वारा GN⁺ 2023-10-11 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • अगस्त 2023 में, Google सेवाएँ और Cloud ग्राहक पहले रिपोर्ट किए गए Layer 7 हमलों की तुलना में कहीं बड़े नए HTTP/2-आधारित DDoS हमले का लक्ष्य बने।
  • सबसे बड़ा हमला प्रति सेकंड 398 मिलियन से अधिक requests तक पहुँचा, लेकिन Google के global load balancing infrastructure द्वारा इसका अधिकांश हिस्सा नेटवर्क edge पर ही रोक दिया गया।
  • Google की DDoS response team ने हमले की समीक्षा की और ऐसे मिलते-जुलते हमलों को और कम करने के लिए अतिरिक्त सुरक्षा उपाय किए।
  • 2021 के अंत के बाद से Google सेवाओं और Google Cloud projects में देखे गए अधिकांश Layer 7 DDoS हमले HTTP/2-आधारित रहे हैं।
  • HTTP/2 endpoints के बीच विभिन्न messages या "frames" भेजने के लिए "streams" का उपयोग करता है, और इसका इस्तेमाल DDoS हमलों को अधिक efficient बनाने में किया जा सकता है।
  • HTTP/2 Rapid Reset हमले में client एक साथ बड़ी संख्या में streams खोलता है, और server या proxy से प्रत्येक request stream के response का इंतज़ार करने के बजाय तुरंत हर request को cancel कर देता है।
  • यह हमला server और client के बीच उपलब्ध cost asymmetry पैदा करता है, क्योंकि server को cancel की गई requests पर भी काफ़ी काम जारी रखना पड़ता है।
  • Rapid Reset हमले के variants भी देखे गए हैं, जो आम तौर पर शुरुआती version जितने efficient नहीं होते, लेकिन standard HTTP/2 DDoS हमलों से अधिक efficient हो सकते हैं।
  • इस attack vector के mitigation उपाय कई रूप ले सकते हैं, लेकिन मुख्य ध्यान connection statistics को track करने और विभिन्न signals व business logic का उपयोग करके हर connection की उपयोगिता तय करने पर होता है।
  • Google को फ़िलहाल HTTP/3 का इस्तेमाल बड़े पैमाने के DDoS attack vector के रूप में होता नहीं दिख रहा, लेकिन वह सिफारिश करता है कि HTTP/3 server implementations पहले से ऐसे mechanisms लागू करें जो एक single transport connection द्वारा किए जाने वाले workload को सीमित करें।
  • Google ने पूरे ecosystem में इस नए HTTP/2 vector को संबोधित करने के लिए coordinated vulnerability disclosure process को सक्रिय रूप से आगे बढ़ाने में मदद की।
  • HTTP/2 सेवाएँ देने वाले सभी providers को इस समस्या के प्रति अपने exposure का आकलन करना चाहिए और सामान्य web servers व programming languages के लिए software patches और updates को जितनी जल्दी हो सके लागू करना चाहिए।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-10-11
Hacker News राय
  • 'Rapid Reset' नाम के एक नए प्रकार के DDoS हमले पर लेख
  • अब तक के सबसे बड़े DDoS हमले और HTTP/2 Zero-Day भेद्यता पर जारी चर्चा
  • यह तथ्य कि 2018 में haproxy टीम ने HTTP/2 से जुड़ी एक समान समस्या की पहचान की थी और उसे कम किया था
  • कुछ उपयोगकर्ताओं ने इस बात की आलोचना की कि Google ने HTTP/2 बनाया और फिर उसी के बनाए हुए समस्या से बचाने वाले के रूप में खुद को पेश किया
  • यह हमला HTTP/2 server implementation में cost asymmetry का फायदा कैसे उठाता है
  • अन्य protocols में पहले से ज्ञात amplification attacks को देखते हुए, कुछ उपयोगकर्ताओं ने इस बात पर हैरानी जताई कि HTTP/2 के design process में इस भेद्यता का अनुमान नहीं लगाया गया
  • कुछ लोगों का मानना है कि यह हमला ads, trackers, और भारी-भरकम frontend frameworks को और तेजी से पहुँचाने के लिए HTTP/2 की आवश्यकता का परिणाम है
  • HTTP/2 के अस्तित्व में आने के 10 साल बाद इस तरह का हमला सामने आने को देखते हुए, कुछ उपयोगकर्ताओं ने HTTP/3 और QUIC में संभावित भेद्यताओं को लेकर चिंता जताई
  • Microsoft ने इस भेद्यता के लिए patch details प्रकाशित कीं
  • कुछ उपयोगकर्ताओं ने पाया कि blog header बार-बार ऊपर आ जाता है, जिससे पेज पढ़ना असंभव हो जाता है
  • यह स्पष्ट करने का अनुरोध कि यह हमला सिर्फ एक साधारण request flood नहीं है, बल्कि इसमें नया क्या है