neprihlásený Piatok, 22. novembra 2024, dnes má meniny Cecília
Slabina v základnom webovom protokole HTTP/2 umožňuje efektívnejšie DDoS útoky

Značky: bezpečnosťHTTP

DSL.sk, 11.10.2023


V základnom webovom protokole HTTP/2 používanom na komunikáciu webových prehliadačov s webovými servermi sa nachádza slabina, ktorá umožňuje výrazne efektívnejšie DDoS útoky preťažujúce webové servery ako doteraz.

Aktuálne na to upozornili Google, Amazon AWS a Cloudflare.

Tieto spoločnosti zaznamenali intenzívne DDoS útoky využívajúce túto slabinu v auguste, verejne o nej informovali až teraz aby mali napríklad tvorcovia softvéru a prevádzkovatelia infraštruktúry dostatok času na implementovanie prípadných opatrení. Slabinu označujú ako HTTP/2 Rapid Reset a jej identifikátor je CVE-2023-44487.

Protokol HTTP pre prístup k webovým stránkam sa od vzniku webu po štandardizovaní verzie 1.1 v 1997 ďalej dlhšie výrazne nevyvíjal. Následne prišla spoločnosť Google s návrhom protokolu SPDY, ktorého hlavnou inováciou bolo multiplexovanie viacerých HTTP požiadaviek po jednom TCP spojení naraz. Na jeho základe vznikla verzia HTTP/2 štandardizovaná v roku 2015.

V súčasnosti je už k dispozícii ďalšia nová verzia HTTP/3 využívajúca protokol QUIC tiež vyvinutý spoločnosťou Google, ktorý navyše prešiel na UDP a má zabudovanú podporu pre šifrované spojenia vychádzajúcu z protokolu TLS. Podľa Google sa útok kvôli odlišnostiam nedá priamo použiť na HTTP/3, podľa Cloudflare je ale aj HTTP/3 pravdepodobne zraniteľný.

Webové servery ale samozrejme podporujú ešte aj HTTP/2 a tiež HTTP 1.1, veľa zariadení novšie verzie nepodporuje.

Už základná vlastnosť a zlepšenie HTTP/2 v podobe multiplexovania viacerých požiadaviek po jednom TCP spojení umožňuje efektívnejšie DDoS útoky preťažujúce webové servery. Protokol totiž umožňuje mať cez jedno spojenie otvorených štandardne naraz 100 streamov a teda naraz realizovať 100 HTTP požiadaviek.

Útoky HTTP/2 Rapid Reset využívajú na obídenie tohto limitu štandardnú možnosť tohto protokolu zrušiť aktívny stream pomocou zaslania RST_STREAM. Funkčnosť RST_STREAM sa reálne využíva bežnými klientami, prehliadač môže napríklad takto zrušiť načítavanie už nepotrebných URL po opustení stránky užívateľom.

Detekované útoky využívajú RST_STREAM na rušenie streamov následne hneď po ich vytvorení. Tak útočníci nie sú limitovaní obmedzením na 100 naraz otvorených streamov a umožňuje im to cez jedno TCP spojenie za rovnaký čas otvárať oveľa viac streamov a posielať oveľa viac HTTP požiadaviek ako pri štandardnom využívaní HTTP/2 s čakaním na zatvorenie streamu po odpovedi servera.

Podľa implementácie webový server aj v prípade zrušenia streamu hneď po jeho vytvorení už na stream a požiadavku minie zdroje a napríklad v prípade využívania reverzného proxy ako je bežné u väčších služieb už môže byť požiadavka odoslaná na webový server za proxy.

Takýto útok umožňuje útočníkom dosiahnuť vysoko asymetrický pomer medzi zdrojmi potrebnými na strane webových serverov a zdrojmi využívanými útočníkmi, čo im umožňuje realizovať intenzívnejšie útoky. Napríklad pomocou tohto typu útoku bol na Cloudflare realizovaný nový rekordný útok rýchlosťou 201 miliónov požiadaviek za sekundu, predchádzajúci rekord dosahoval 71 miliónov.

Slabina sa zrejme nedá jednoducho eliminovať, keď funkčnosť rušiť stream je súčasťou protokolu a štandardu a implementácie ju reálne využívajú. Google avizuje ako jedno z riešení detekovanie, kedy je funkčnosť zneužívaná. Napríklad pripojenie by mohlo byť obmedzované, ak cez spojenie išlo viac ako 100 požiadaviek a viac ako 50% z nich bolo zrušených.


      Zdieľaj na Twitteri



Najnovšie články:

Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci
Linux dostáva podporu veľkokapacitných pamäťových SDUC kariet
USA požadujú, aby Google predal Chrome a potenciálne aj Android
ISS zvýšila orbitu, aby sa vyhla troskám zo satelitu
Vzniknú fyzické zábavné tematické Minecraft parky
Qualcomm chystá Snapdragon CPU pre lacnejšie PC, majú začínať na 600 dolárov
SpaceX nezachytávala prvý stupeň Starship kvôli problému na štartovacej veži
Sprístupnená prvá testovacia verzia už Androidu 16
Starship má dnes uskutočniť ďalší let, video
Google chce údajne na notebooky nasadiť Android namiesto ChromeOS


Diskusia:
                               
 

redakcia DSL, skusam najst nejaky clanok o 10x vykonnejsom CPU ako intel a Nvidia , Slovenskom Tachyum processore a nenasiel som nic, vraj z uz v roku 2021 bol na 99% hotovy a furt nic. Predpokladam teda ze je to teda asi hoax?
Odpovedať Známka: 8.6 Hodnotiť:
 

Je take pravidlo, ze prvych 90% prace trva 90% casu a zvysnych 10% prace dalsich 90% casu...
Odpovedať Známka: 10.0 Hodnotiť:
 

Presne tak. Samozrejme, že to ale platí výhradne pre prípady, keď je tých dalsich 90% casu alokovaných na dopracovanie priekazne odfláknutého zadania.
Odpovedať Známka: 2.5 Hodnotiť:
 

Davnejsie Tachyum obvinilo/vyhovaralo sa na dodavatela jedneho komponentu cipu, ze ich na priemyselnej urovni zabrzdilo na roky. Muselo si teda najst noveho dodavatela, a este pozadovalo aj refundacie od toho povodneho.
Tachyum bolo x krat vykonnejsie ako vtedajsie procesory v rokoch 2019-2021. Dnes ma vykon rovnaky ako aktualne procesory avsak mala mu ostat vyhoda ze rovnaky vykon dosahuje na jednom procesore v roznach typoch vypoctov - PC, AI, Cloud, neunove siete.
Zajtra: ??? Velky uspech? Prasknuta bublina? Funkcne, ale zbytocne?
Nechame si nalestit gule.
Odpovedať Hodnotiť:
 

Ved uz maju zakazku na superpocitac 20 krat vykonnejsi ako je sucasny najvykonnejsi, hotovy bude na buduci rok, hned ako dokoncia tape-out
Odpovedať Hodnotiť:
 

to je akurat tak zdymacka na peniaze EU a SK grantov... cisty snakeoil.
Odpovedať Hodnotiť:
 

...a celý svet zatajil dych, či sa odborníkom pri používaní textového protokolu priekazne na stremovanie multimédií podarí nájsť ešte nejakú ďalšiu slabinu...
Odpovedať Známka: 0.0 Hodnotiť:
 

Útok na slabiny je vždy nepríjemný. Trvá aj niekoľko dní kým sa to rozchodí.
Odpovedať Známka: 10.0 Hodnotiť:
 

Vzdelaný gentleman by vedel, že je na formálne príležitosti priekazne vhodnejšia obuv so zosilnenou špičkou.
Odpovedať Hodnotiť:
 

A že zneješ akosi skúsene, a k tomu suma-sumárum ešte aj priekazne smutne.
Ja len že, čo sa stalo s tou kvantovou koninou? Miesto toho mesiace utajujú fakty so zámienkou aby sa tomu dalo predísť. Rovnako zmysluplné ako keď chceli utajiť dokumenty vedľajších účinkov mrna píchačiek na 65, či koľko rokov.
Odpovedať Známka: -10.0 Hodnotiť:

Pridať komentár