neprihlásený
|
Piatok, 22. novembra 2024, dnes má meniny Cecília |
|
Slabina v základnom webovom protokole HTTP/2 umožňuje efektívnejšie DDoS útoky
Značky:
bezpečnosťHTTP
DSL.sk, 11.10.2023
|
|
V základnom webovom protokole HTTP/2 používanom na komunikáciu webových prehliadačov s webovými servermi sa nachádza slabina, ktorá umožňuje výrazne efektívnejšie DDoS útoky preťažujúce webové servery ako doteraz.
Aktuálne na to upozornili Google, Amazon AWS a Cloudflare.
Tieto spoločnosti zaznamenali intenzívne DDoS útoky využívajúce túto slabinu v auguste, verejne o nej informovali až teraz aby mali napríklad tvorcovia softvéru a prevádzkovatelia infraštruktúry dostatok času na implementovanie prípadných opatrení. Slabinu označujú ako HTTP/2 Rapid Reset a jej identifikátor je CVE-2023-44487.
Protokol HTTP pre prístup k webovým stránkam sa od vzniku webu po štandardizovaní verzie 1.1 v 1997 ďalej dlhšie výrazne nevyvíjal. Následne prišla spoločnosť Google s návrhom protokolu SPDY, ktorého hlavnou inováciou bolo multiplexovanie viacerých HTTP požiadaviek po jednom TCP spojení naraz. Na jeho základe vznikla verzia HTTP/2 štandardizovaná v roku 2015.
V súčasnosti je už k dispozícii ďalšia nová verzia HTTP/3 využívajúca protokol QUIC tiež vyvinutý spoločnosťou Google, ktorý navyše prešiel na UDP a má zabudovanú podporu pre šifrované spojenia vychádzajúcu z protokolu TLS. Podľa Google sa útok kvôli odlišnostiam nedá priamo použiť na HTTP/3, podľa Cloudflare je ale aj HTTP/3 pravdepodobne zraniteľný.
Webové servery ale samozrejme podporujú ešte aj HTTP/2 a tiež HTTP 1.1, veľa zariadení novšie verzie nepodporuje.
Už základná vlastnosť a zlepšenie HTTP/2 v podobe multiplexovania viacerých požiadaviek po jednom TCP spojení umožňuje efektívnejšie DDoS útoky preťažujúce webové servery. Protokol totiž umožňuje mať cez jedno spojenie otvorených štandardne naraz 100 streamov a teda naraz realizovať 100 HTTP požiadaviek.
Útoky HTTP/2 Rapid Reset využívajú na obídenie tohto limitu štandardnú možnosť tohto protokolu zrušiť aktívny stream pomocou zaslania RST_STREAM. Funkčnosť RST_STREAM sa reálne využíva bežnými klientami, prehliadač môže napríklad takto zrušiť načítavanie už nepotrebných URL po opustení stránky užívateľom.
Detekované útoky využívajú RST_STREAM na rušenie streamov následne hneď po ich vytvorení. Tak útočníci nie sú limitovaní obmedzením na 100 naraz otvorených streamov a umožňuje im to cez jedno TCP spojenie za rovnaký čas otvárať oveľa viac streamov a posielať oveľa viac HTTP požiadaviek ako pri štandardnom využívaní HTTP/2 s čakaním na zatvorenie streamu po odpovedi servera.
Podľa implementácie webový server aj v prípade zrušenia streamu hneď po jeho vytvorení už na stream a požiadavku minie zdroje a napríklad v prípade využívania reverzného proxy ako je bežné u väčších služieb už môže byť požiadavka odoslaná na webový server za proxy.
Takýto útok umožňuje útočníkom dosiahnuť vysoko asymetrický pomer medzi zdrojmi potrebnými na strane webových serverov a zdrojmi využívanými útočníkmi, čo im umožňuje realizovať intenzívnejšie útoky. Napríklad pomocou tohto typu útoku bol na Cloudflare realizovaný nový rekordný útok rýchlosťou 201 miliónov požiadaviek za sekundu, predchádzajúci rekord dosahoval 71 miliónov.
Slabina sa zrejme nedá jednoducho eliminovať, keď funkčnosť rušiť stream je súčasťou protokolu a štandardu a implementácie ju reálne využívajú. Google avizuje ako jedno z riešení detekovanie, kedy je funkčnosť zneužívaná. Napríklad pripojenie by mohlo byť obmedzované, ak cez spojenie išlo viac ako 100 požiadaviek a viac ako 50% z nich bolo zrušených.
Najnovšie články:
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
a nic ohladom Tachyum
Od: WizzX
|
Pridané:
11.10.2023 14:28
redakcia DSL, skusam najst nejaky clanok o 10x vykonnejsom CPU ako intel a Nvidia , Slovenskom Tachyum processore a nenasiel som nic, vraj z uz v roku 2021 bol na 99% hotovy a furt nic. Predpokladam teda ze je to teda asi hoax?
|
|
Re: a nic ohladom Tachyum
Od reg.: miggg
|
Pridané:
11.10.2023 14:43
Je take pravidlo, ze prvych 90% prace trva 90% casu a zvysnych 10% prace dalsich 90% casu...
|
|
ultraradikálny špecifikácionalizmus
Od: syntaxterrorXXX, . Y
|
Pridané:
11.10.2023 16:10
Presne tak. Samozrejme, že to ale platí výhradne pre prípady, keď je tých dalsich 90% casu alokovaných na dopracovanie priekazne odfláknutého zadania.
|
|
Re: a nic ohladom Tachyum
Od: Karxi
|
Pridané:
12.10.2023 8:35
Davnejsie Tachyum obvinilo/vyhovaralo sa na dodavatela jedneho komponentu cipu, ze ich na priemyselnej urovni zabrzdilo na roky. Muselo si teda najst noveho dodavatela, a este pozadovalo aj refundacie od toho povodneho.
Tachyum bolo x krat vykonnejsie ako vtedajsie procesory v rokoch 2019-2021. Dnes ma vykon rovnaky ako aktualne procesory avsak mala mu ostat vyhoda ze rovnaky vykon dosahuje na jednom procesore v roznach typoch vypoctov - PC, AI, Cloud, neunove siete.
Zajtra: ??? Velky uspech? Prasknuta bublina? Funkcne, ale zbytocne?
Nechame si nalestit gule.
|
|
Re: a nic ohladom Tachyum
Od: Loa leroa
|
Pridané:
11.10.2023 16:39
Ved uz maju zakazku na superpocitac 20 krat vykonnejsi ako je sucasny najvykonnejsi, hotovy bude na buduci rok, hned ako dokoncia tape-out
|
|
Re: a nic ohladom Tachyum
Od: gfdsgfdgd
|
Pridané:
12.10.2023 7:39
to je akurat tak zdymacka na peniaze EU a SK grantov... cisty snakeoil.
|
|
ultraumiernený prakticizmus
Od: syntaxterrorXXX, . Y
|
Pridané:
11.10.2023 14:33
...a celý svet zatajil dych, či sa odborníkom pri používaní textového protokolu priekazne na stremovanie multimédií podarí nájsť ešte nejakú ďalšiu slabinu...
|
|
Je to bolestivé.
Od: Baltazár Kokoschka
|
Pridané:
11.10.2023 14:41
Útok na slabiny je vždy nepríjemný. Trvá aj niekoľko dní kým sa to rozchodí.
|
|
ultraumiernený pacifizmus
Od: syntaxterrorXXX, . Y
|
Pridané:
12.10.2023 6:44
Vzdelaný gentleman by vedel, že je na formálne príležitosti priekazne vhodnejšia obuv so zosilnenou špičkou.
|
|
Re: Je to bolestivé.
Od: GážduI'o
|
Pridané:
12.10.2023 7:47
A že zneješ akosi skúsene, a k tomu suma-sumárum ešte aj priekazne smutne.
Ja len že, čo sa stalo s tou kvantovou koninou? Miesto toho mesiace utajujú fakty so zámienkou aby sa tomu dalo predísť. Rovnako zmysluplné ako keď chceli utajiť dokumenty vedľajších účinkov mrna píchačiek na 65, či koľko rokov.
|
Pridať komentár
|
|
|
|