Rapid Reset: хакеры нашли способ совершать мощнейшие DDoS-атаки

14.06.2024

Простота эксплуатации CVE-2023-44487 делает её приоритетной целью для киберпреступников.

В августе 2023 года была выявлена критическая уязвимость в протоколе HTTP/2, известная как CVE-2023-44487 или Rapid Reset. Эта уязвимость, способная вызывать атаки типа "отказ в обслуживании" (DoS), стала серьёзной проблемой для интернет-сервисов и привлекла внимание киберпреступников. Компания Qrator Labs — это российская компания, специализирующаяся на обеспечении безопасности и стабильности сетей. Она предоставляет решения для защиты от DDoS-атак, мониторинга сетей и управления трафиком. Компания разрабатывает инновационные технологии и предоставляет услуги, которые помогают организациям защищать свои онлайн-ресурсы и обеспечивать надежную работу сетей. Qrator Labs является одним из лидеров в области кибербезопасности и сетевых решений в России и за её пределами, имея офисы в Чехии и Объединённых Арабских Эмиратах." data-html="true" data-original-title="Qrator Labs" >Qrator Labs поделилась информацией о функционировании CVE-2023-44487, её влиянии на HTTP/2 и предложила стратегии защиты.

HTTP/2 внедрил множество улучшений по сравнению с предыдущей версией протокола, включая мультиплексирование потоков, что позволяет открывать несколько потоков через одно TCP-соединение. Однако уязвимость Rapid Reset использует механизм отмены потока, применяя RST_STREAM кадры для нарушения работы сервера.

Когда пользователь заходит на веб-сайт, поддерживающий HTTP/2, одно соединение используется для нескольких ресурсов, что повышает эффективность взаимодействия. Однако такая возможность открывает двери для эксплуатации уязвимостей, поскольку одно соединение может генерировать множество запросов, увеличивая нагрузку на сервер. Для смягчения этой проблемы в HTTP/2 предусмотрен механизм ограничения количества активных одновременных потоков, предотвращающий перегрузку сервера клиентами.

Эксплуатация Rapid Reset заключается в отправке злоумышленником RST_STREAM кадра сразу после отправки запроса. Это заставляет сервер начать обработку запроса, но быстро отменяет его. Хотя запрос отменен, соединение HTTP/2 остаётся активным, что позволяет злоумышленнику повторять атаку, создавая новые потоки. В результате сервер тратит ресурсы на обработку отменённых запросов, что может привести к отказу в обслуживании.

Уязвимость Rapid Reset стала причиной масштабных распределённых атак типа DDoS. Крупные компании, такие как Google, AWS и Cloudflare, сообщили о волнах атак, достигающих сотен миллионов запросов в секунду. Эти атаки проводились с использованием относительно небольших ботнетов, что подчеркивает серьёзность уязвимости.

Киберпреступники активно эксплуатируют уязвимость Rapid Reset, используя ее для проведения DDoS-атак. Простота эксплуатации и потенциальный ущерб сделали эту уязвимость главной мишенью для киберпреступников.

Компания Qrator Labs рекомендует применять следующие стратегии для защиты от уязвимости Rapid Reset:

Отслеживание подключений: Внимательно следить за статистикой подключений, включая количество активных потоков, скорость их создания и частоту отмены. Выявлять неправомерные подключения HTTP/2 и оценивать полезность каждого на основе содержимого запроса и поведения клиента. Закрывать соединения, демонстрирующие подозрительные паттерны.

Ограничение скорости: Реализовать механизмы управления трафиком на уровне соединений и потоков. Выявлять и блокировать подозрительные паттерны, такие как большое количество быстро отменённых потоков или запросов с известных вредоносных IP-адресов. Использовать адаптивное регулирование или очередь запросов для динамического управления ограничениями скорости в зависимости от серьёзности атаки.

Рекомендации для Apache: Настроить директивы MaxRequestWorkers и MaxConnectionsPerChild на веб-серверах Apache в соответствии с ёмкостью сервера и ожидаемым трафиком. Обновить libnghttp2 модуля mod_http2 до версии 1.57.0 или выше, включающей исправления уязвимости. Использовать дополнительные модули безопасности, такие как mod_security или mod_evasive, для усиления защиты.

Рекомендации для Nginx: Убедиться, что keepalive-ограничение по умолчанию не увеличено, чтобы не сделать сервер более уязвимым. При использовании нестандартных конфигураций с высокими ограничениями keepalive, перестроить Nginx из последней кодовой базы с патчем для предотвращения чрезмерного потребления ресурсов. Настроить директиву http2_max_concurrent_streams для ограничения количества одновременных потоков в зависимости от ёмкости сервера и ожидаемого трафика.

Qrator Labs также отметила, что уязвимость не затрагивает пользователей HAProxy благодаря защитным мерам, реализованным в версии 1.9 и перенесённым в последующие версии. Эти меры улучшают обработку мультиплексирования потоков протокола HTTP/2, что помогает противостоять атакам, подобным Rapid Reset. Вместо подсчёта только известных, установленных потоков, HAProxy 1.9 и более поздние версии учитывают выделенные ресурсы до их полного освобождения.

Добавить комментарий

Your email address will not be published.

Предыдущая история

Как тайное древнее общество открыло иррациональные числа

Next Story

Карадениз о решении возглавить «Рубин-2»: «В России чувствую себя в безопасности. Всегда знал, что тут все нормально. Не смотрел на уехавших легионеров»

Последние из Наука и образование

Рейтинг мировых университетов THE 2025: Оксфорд удерживает первое место, проверьте топ-10 и их общий балл

09.11.2024
Оксфордский университет, Массачусетский технологический институт (MIT) и Гарвардский университет заняли первые три места в рейтинге мировых университетов THE 2025. Times Higher Education (THE) поставил

Первоклассники Туркменистана получат в подарок от Президента усовершенствованные модели ноутбуков

30.08.2024
В новом 2024-2025 учебном году более 155 тысяч первоклассников Туркменистана получат в подарок от имени Президента Сердара Бердымухамедова усовершенствованные модели портативных компьютеров. Среди новшеств

Учебная поездка в Малайзию

30.08.2024
В канун нового, 2024-2025 учебного года вузовская делегация в составе преподавателей и студентов Международного университета нефти и газа имени Ягшыгелди Какаева, а также его

«Цифроземье 2024»: ИТ-форум, где будущее уже здесь

20.08.2024
В начале осени Воронеж станет эпицентром цифровых инноваций. 5 сентября в Сити-парке «Град» пройдет ИТ-форум «Цифроземье 2024», который объединит специалистов, предпринимателей, экспертов и всех,
Перейти кTop