【每秒2億】破記錄DDoS攻擊誕生 只需2萬部殭屍電腦
Cloudflare、AWS 和 Google 早前同時偵測到大規模的網絡攻擊活動。針對攻擊作出的分析顯示,這次攻擊使用了 HTTP/2 協定中一個零日漏洞(CVE-2023-44487),攻擊者能夠向目標服務發出數以億計的請求,引發阻斷服務攻擊(DDoS),而且這種名為 HTTP/2 Rapid Reset 的攻擊可利用較少的殭屍電腦,作出非常龐大的流量,比 Cloudflare 曾攔截的 DDoS 攻擊記錄,高出接近三倍!
攻擊者濫用串流取消功能
HTTP/2 Rapid Reset 是一種利用 HTTP/2 協定的弱點,產生大量無效訪問的 DDoS 攻擊。專家解釋,攻擊者濫用了 HTTP/2 的串流取消功能,首先攻擊者會對一個支援 HTTP/2 協定的網站或服務發送訪問請求,然後再立即取消,這時服務器仍需消耗資源以取消相應的數據流量,由於當中沒有對這些請求進行驗證,因此攻擊者可以立即開啟新的訪問請求,而通過快速開啟和取消,便會導致服務阻斷出現。
Cloudflare 專家表示這種攻擊只須一個小規模的殭屍網絡,從攔截的其中一次攻擊中,攻擊者便只利用了約 2 萬台電腦設備,但卻產生了每秒約 2 億個請求,相較以往的放大(amplification)技術的破壞大更強。
Google 方面亦表示,經測量的攻擊每秒最高可產生近 4 億個請求,相當於維基百科整個 9 月的文章瀏覽量的 7.5 倍。AWS 亦表示雖採取防護,但攻擊流量仍高達每秒 1.55 億個請求。各方專家都指雖然這次攻擊維持時間短暫,但規模之大超越過往紀錄,由於 HTTP/2 已在 60% 的網站或應用服務中使用,代表可造成非常嚴重的網絡威脅,甚至指這種攻擊象徵著 DDoS 發展的新里程,必須高度關注。
整個 9 月持續有新攻擊
AWS 提出,在整個 9 月期間持續觀察到新的 HTTP/2 Rapid Reset 攻擊,顯示黑客正測試更可行的攻擊方法,而企業要防止網站或應用服務受到 HTTP/2 Rapid Reset 攻擊,應立即作出以下部署,並第一時間安裝供應商針對這項漏洞提供的修補檔案:
.了解現有的安全保護、偵測和回應攻擊所需的能力,並立即修復網絡中存在的任何問題
.確保 DDoS 保護工具位於數據中心之外,因為當流量到達數據中心便很難作出緩解
.確保擁有針對應用程式的 DDoS 保護(第 7 層)及 Web 應用程式防火牆
.為所有面向互聯網的 Web 伺服器上更新修補程式
.作為最後手段,可考慮關閉 HTTP/2 和 HTTP/3 協定,但將有可能出現嚴重的效能問題
