  |
Za poslednú hodinu: 69 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Nedeľa, 28. apríla 2024, dnes má meniny Jarmila |
|
Slabina v základnom webovom protokole HTTP/2 umožňuje efektívnejšie DDoS útoky
bezpečnosť
Aktuálne na to upozornili Google, Amazon AWS a Cloudflare. Tieto spoločnosti zaznamenali intenzívne DDoS útoky využívajúce túto slabinu v auguste, verejne o nej informovali až teraz aby mali napríklad tvorcovia softvéru a prevádzkovatelia infraštruktúry dostatok času na implementovanie prípadných opatrení. Slabinu označujú ako HTTP/2 Rapid Reset a jej identifikátor je CVE-2023-44487. Protokol HTTP pre prístup k webovým stránkam sa od vzniku webu po štandardizovaní verzie 1.1 v 1997 ďalej dlhšie výrazne nevyvíjal. Následne prišla spoločnosť Google s návrhom protokolu SPDY, ktorého hlavnou inováciou bolo multiplexovanie viacerých HTTP požiadaviek po jednom TCP spojení naraz. Na jeho základe vznikla verzia HTTP/2 štandardizovaná v roku 2015. V súčasnosti je už k dispozícii ďalšia nová verzia HTTP/3 využívajúca protokol QUIC tiež vyvinutý spoločnosťou Google, ktorý navyše prešiel na UDP a má zabudovanú podporu pre šifrované spojenia vychádzajúcu z protokolu TLS. Podľa Google sa útok kvôli odlišnostiam nedá priamo použiť na HTTP/3, podľa Cloudflare je ale aj HTTP/3 pravdepodobne zraniteľný. Webové servery ale samozrejme podporujú ešte aj HTTP/2 a tiež HTTP 1.1, veľa zariadení novšie verzie nepodporuje. Už základná vlastnosť a zlepšenie HTTP/2 v podobe multiplexovania viacerých požiadaviek po jednom TCP spojení umožňuje efektívnejšie DDoS útoky preťažujúce webové servery. Protokol totiž umožňuje mať cez jedno spojenie otvorených štandardne naraz 100 streamov a teda naraz realizovať 100 HTTP požiadaviek. Útoky HTTP/2 Rapid Reset využívajú na obídenie tohto limitu štandardnú možnosť tohto protokolu zrušiť aktívny stream pomocou zaslania RST_STREAM. Funkčnosť RST_STREAM sa reálne využíva bežnými klientami, prehliadač môže napríklad takto zrušiť načítavanie už nepotrebných URL po opustení stránky užívateľom. Detekované útoky využívajú RST_STREAM na rušenie streamov následne hneď po ich vytvorení. Tak útočníci nie sú limitovaní obmedzením na 100 naraz otvorených streamov a umožňuje im to cez jedno TCP spojenie za rovnaký čas otvárať oveľa viac streamov a posielať oveľa viac HTTP požiadaviek ako pri štandardnom využívaní HTTP/2 s čakaním na zatvorenie streamu po odpovedi servera. Podľa implementácie webový server aj v prípade zrušenia streamu hneď po jeho vytvorení už na stream a požiadavku minie zdroje a napríklad v prípade využívania reverzného proxy ako je bežné u väčších služieb už môže byť požiadavka odoslaná na webový server za proxy. Takýto útok umožňuje útočníkom dosiahnuť vysoko asymetrický pomer medzi zdrojmi potrebnými na strane webových serverov a zdrojmi využívanými útočníkmi, čo im umožňuje realizovať intenzívnejšie útoky. Napríklad pomocou tohto typu útoku bol na Cloudflare realizovaný nový rekordný útok rýchlosťou 201 miliónov požiadaviek za sekundu, predchádzajúci rekord dosahoval 71 miliónov. Slabina sa zrejme nedá jednoducho eliminovať, keď funkčnosť rušiť stream je súčasťou protokolu a štandardu a implementácie ju reálne využívajú. Google avizuje ako jedno z riešení detekovanie, kedy je funkčnosť zneužívaná. Napríklad pripojenie by mohlo byť obmedzované, ak cez spojenie išlo viac ako 100 požiadaviek a viac ako 50% z nich bolo zrušených. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
