Μια νέα τεχνική DDoS, με την ονομασία ‘HTTP/2 Rapid Reset‘, έχει εκμεταλλευθεί ενεργά ως zero-day από τον Αύγουστο, ξεπερνώντας όλα τα προηγούμενα ρεκόρ σε μέγεθος.
Δείτε επίσης: Αυστραλία: Η υπηρεσία εσωτερικών υποθέσεων πλήττεται από επίθεση DDoS
Η είδηση για το zero-day έρχεται σήμερα ως συντονισμένη ανακοίνωση μεταξύ των Amazon Web Services, της Cloudflare και της Google, οι οποίες αναφέρουν ότι αντιμετωπίζουν επιθέσεις που φθάνουν τα 155 εκατομμύρια αιτήματα ανά δευτερόλεπτο (Amazon), 201 εκατομμύρια rps (Cloudflare) και ένα ρεκόρ 398 εκατομμύρια rps (Google).
Η εταιρεία Cloudflare αναφέρει ότι το μέγεθος της επίθεσης είναι τρεις φορές μεγαλύτερο από το προηγούμενο ρεκόρ της, από τον Φεβρουάριο του 2023 (71 εκατομμύρια rps), και είναι ανησυχητικό το γεγονός ότι αυτό επιτεύχθηκε χρησιμοποιώντας ένα σχετικά μικρό botnet που αποτελείται από 20.000 μηχανές. Από τον Αύγουστο, η Cloudflare ανιχνεύει και αντιμετωπίζει πάνω από χίλιες επιθέσεις ‘HTTP/2 Rapid Reset’ DDoS που υπερβαίνουν τα 10 εκατομμύρια rps, με 184 από αυτές να ξεπερνούν το προηγούμενο ρεκόρ των 71 εκατομμυρίων rps.
Η Cloudflare είναι βέβαιη ότι καθώς οι δράστες χρησιμοποιούν όλο και πιο εκτεταμένα botnets μαζί με αυτή τη νέα μέθοδο επίθεσης, οι επιθέσεις HTTP/2 Rapid Reset θα συνεχίσουν να σπάνε ακόμη πιο μεγάλα ρεκόρ. Η νέα επίθεση εκμεταλλεύεται μια ευπάθεια στο πρωτόκολλο HTTP/2, γνωστή ως CVE-2023-44487. Με απλά λόγια, η μέθοδος επίθεσης εκμεταλλεύεται τη δυνατότητα ακύρωσης ροής του HTTP/2 για να στέλνει και να ακυρώνει συνεχώς αιτήματα, κατακλύζοντας τον στόχο σερβερ/εφαρμογή και επιβάλλοντας μια κατάσταση DoS.
Το πρωτόκολλο HTTP/2 περιλαμβάνει έναν μηχανισμό προστασίας στη μορφή μίας παραμέτρου που περιορίζει τον αριθμό των ταυτόχρονα ενεργών ροών για να αποτρέψει επιθέσεις DoS (Denial of Service). Ωστόσο, αυτό δεν είναι πάντα αποτελεσματικό. Οι προγραμματιστές του πρωτοκόλλου εισήγαγαν μια πιο αποδοτική μέτρηση που ονομάζεται “ακύρωση αιτήματος”, η οποία δεν καταργεί ολόκληρη τη σύνδεση αλλά μπορεί να καταχραστεί.
Δείτε ακόμα: Η.Β: To site της βασιλικής οικογένειας εκτός σύνδεσης λόγω DDoS επίθεσης
Κακόβουλοι δράστες έχουν καταχραστεί αυτήν τη λειτουργία από τα τέλη Αυγούστου, για να στείλουν μια σειρά αιτημάτων HTTP/2 και επαναφορές (πλαίσια RST_Stream) σε έναν διακομιστή, ζητώντας του να επεξεργαστεί και να πραγματοποιήσει γρήγορες επαναφορές, παρακάμπτοντας τη δυνατότητά του να ανταποκριθεί σε νέα εισερχόμενα αιτήματα. Σύμφωνα με την Cloudflare, οι διακομιστές HTTP/2 ή οι load-balancers είναι ιδιαίτερα ευάλωτοι σε αυτές τις μακριές ακολουθίες αιτημάτων επαναφοράς που στέλνονται γρήγορα.
Όσον αφορά τον πραγματικό αντίκτυπο, αυτές οι επιθέσεις έχουν προκαλέσει αύξηση στις αναφορές σφάλματος 502 μεταξύ των πελατών της Cloudflare. Η Cloudflare αναφέρει ότι τελικά αντιμετώπισε αυτές τις επιθέσεις χρησιμοποιώντας ένα σύστημα που σχεδιάστηκε για να αντιμετωπίζει αυτές τις επιθέσεις, που ονομάζεται “IP Jail“.
Αυτό το σύστημα αποκλείει τις παραβατικές διευθύνσεις IP και τους απαγορεύει να χρησιμοποιούν το πρωτόκολλο HTTP/2 σε οποιοδήποτε τομέα του Cloudflare για ένα χρονικό διάστημα, ενώ επηρεάζει ελαφρώς τους νόμιμους χρήστες που μοιράζονται την ίδια IP με μία μικρή πτώση στην απόδοση.
Η Amazon αναφέρει ότι αντιμετώπισε δεκάδες από αυτές τις επιθέσεις χωρίς να παρέχει λεπτομέρειες για τις επιπτώσεις τους, υπογραμμίζοντας ότι η διαθεσιμότητα των υπηρεσιών προς τους πελάτες διατηρήθηκε.
Δείτε επίσης: Cloudflare DDoS: Οι προστασίες παρακάμπτονται μέσω Cloudflare
Όταν μιλάμε για επιθέσεις DDoS, η πληροφορία που επαναλαμβάνεται είναι ότι η ιστοσελίδα είναι «κάτω», δηλαδή δεν μπορεί να προσπελαστεί από τους χρήστες. Ωστόσο, το εύρος της ζημιάς από μια τέτοια επίθεση είναι πολύ πιο εκτενές και σύνθετο. Οι επιπτώσεις μπορεί να ποικίλλουν από την απομόνωση ιστοσελίδων μέχρι τη διακοπή, ή ακόμη και την κατάργηση, των διαδικτυακών υπηρεσιών.
Όσο λιγότερο γνωστές είναι οι διάφορες μορφές της ζημιάς που μπορεί να προκαλέσει μια τέτοια επίθεση — από την απώλεια των δεδομένων των χρηστών, τη σταδιακή απώλεια της εμπιστοσύνης του κοινού έως την επιβολή προστίμων για παραβιάσεις στον τομέα της ασφάλειας του διαδικτύου. Ας αναφέρουμε λοιπόν μερικά από αυτά τα βασικά σημεία:
- Απομόνωση του διαδικτύου: Μια επιθεση DDoS μπορεί να απομονώσει πλήρως μια ιστοσελίδα από το διαδίκτυο.
- Επιβολή προστίμων: Οι οργανισμοί μπορούν να επιβάλουν πρόστιμα σε εταιρείες που δεν λαμβάνουν τα κατάλληλα μέτρα ασφαλείας για την προστασία των στοιχείων των χρηστών.
- Απώλεια εμπιστοσύνης: Μακροχρόνιες διακοπές της υπηρεσίας ή συχνές επιθέσεις μπορούν να ερμηνευθούν ως ανεπάρκεια, υπονομεύοντας την εμπιστοσύνη των πελατών στην εταιρεία.
