DDoS 攻击的新阶段
HTTP/2 Rapid Reset 漏洞代表着威胁格局的转变
2023 年 10 月,Cloudflare 协助率先披露了 HTTP/2 协议中的一个零日漏洞,该漏洞会导致针对 HTTP 资源(例如 Web 服务器和 Web 应用)的大规模 DDoS 攻击。在发现该漏洞后的几周内,攻击者利用它发起了数百次破纪录的攻击。
安全领导者见识过无数类似这样的“破纪录”和“变革性”公告,而且一般来说,他们会对其中大部分公告持保留态度。不过,由于几个原因,本次公告有所不同,它代表着威胁格局的转变。
为了成功应对这种转变,安全领导者需要加速推进云迁移的关键方面,并更好地了解整个面向客户的 Web 基础设施存在的风险。
DDoS 威胁格局发生重大转变
在 2010 年代,许多规模最大、影响最深远的 DDoS 攻击都利用了 OSI 模型的第 3 层和第 4 层。攻击者意识到有一个相对可靠的策略并反复加以使用。著名的示例包括 2013 年的 SpamHaus 攻击、2016 年的 Dyn 攻击 以及 2019 年的 Wikimedia 攻击,其中第二个攻击生成了超过 1.3 Tbps 恶意流量。
当然,随着时间的推移,组织适应了这种情况。随着云采用率的逐渐提升,组织需要保护的自有网络基础设施有所减少,并且它们投资开发专门的技术,以缓解最大规模的网络 DDoS 攻击。
正如历史总是在重演,攻击者不断改变策略也就不足为奇。近年来,许多著名的 DDoS 攻击都利用了第 7 层协议,揭示了新的攻击趋势。这些攻击的特征如下所述:
超大容量
更注重流量体量(一段时间内的速度和请求数量),而不是流量规模(每个数据包的带宽、请求等)
基于更复杂的策略,例如:利用零日漏洞、以新方式重复使用旧技术,以及针对特定行业和组织
新的 HTTP/2 漏洞是这些趋势的典型示例,它给组织带来了一些独特的挑战。要了解其中的原因,需要简要说明该漏洞的工作原理。
新的 HTTP/2 漏洞会带来独特的风险
这个零日漏洞利用了 HTTP/2 的取消流功能,因此,它获得了 Rapid Reset 的绰号。
在 HTTP/2 协议中,流是客户端与服务器之间的请求和响应序列。至关重要的是,请求者可以单方面建立或取消流。虽然有很多正当理由使用此功能,但在 Rapid Reset 攻击中,威胁行为者会生成大量恶意的取消流请求,绕过目标服务器常见的速率限制。(有关漏洞利用的详细技术说明,请参阅此处。)
从 2023 年 8 月开始,Cloudflare 观察到攻击者使用这种方法产生了很大的影响。在此期间,数百次 Rapid Reset 攻击的恶意请求超过了 Cloudflare 之前的记录,即 7100 万次请求/秒 (rps)。其中最大规模的一次攻击超过了该记录,是它的三倍。
为什么这个问题令人担忧?
原因之一是攻击者的基础设施。这次破纪录的攻击使用了 20,000 台计算机组成的僵尸网络,而按照现代僵尸网络的标准来看,20,000 台计算机数量相对适中。相比之下,Cloudflare 经常检测到由数十万甚至数百万台计算机组成的僵尸网络。
此外,该漏洞本身的传播范围极其广泛。大约 62% 的互联网流量使用 HTTP/2 协议,也就是说,大多数 Web 应用和服务器本质上容易遭受攻击。Cloudflare 的初步研究表明 HTTP/3 可能也容易遭受攻击,因此,HTTP/1.1 成为唯一不受影响的协议。然而,回退到 HTTP/1.1 几乎是一个不切实际的选项,因为现代互联网很大程度上依赖于 HTTP/2 和 HTTP/3 的性能改进。
这意味着,该漏洞在未来数月和数年内极有可能被利用。随着拥有更多资源的新攻击团伙尝试使用这种方法,不难想象又将创下另一项 DDoS 记录。
那么,安全领导者及其团队应该怎么做才能确保受到保护?
保护组织免受 HTTP/2 漏洞和更广泛的 DDoS 威胁格局的影响
每一种安全实践都涉及技术与流程的成功组合,应对下一代第 7 层 DDoS 攻击也不例外。
在技术层面,安全领导者应该优先考虑采取以下步骤:
将第 7 层 DDoS 缓解措施移出数据中心。在 Rapid Reset 这样的超大容量耗尽攻击下,即使是功能最强大的 DDoS 缓解硬件也可能会崩溃。如果组织一直在考虑将第 7 层 DDoS 缓解措施迁移至云,则现在是采取行动的好时机。
考虑使用基于云的辅助第 7 层 DDoS 缓解服务提供商,提高韧性。虽然难以精确预测未来的攻击规模,但对于特别关键的 Web 应用来说,这通常是一种通用的最佳实践。
确保在所有面向互联网的 Web 服务器上部署相关的 Web 服务器和操作系统补丁。此外,请确保所有自动化工具(例如 Terraform 构建和映像)均全面使用补丁,以免将较旧版本的 Web 服务器意外部署到生产环境中并覆盖安全映像。
单靠技术无法提供足够的保护。原因之一与修补漏洞有关:单独修补是一件简单的事情,但将其付诸实践并随着时间的推移持续修补的难度更大。举例说明这个令人遗憾的事实:在上述 Log4J 漏洞披露且发布补丁一年后,大多数组织仍未完全修补该漏洞,处于部分暴露状态。
此外,现代 Web 应用比以往任何时候都更加依赖合作伙伴和第三方集成,这些合作伙伴和第三方也可能容易遭受攻击。因此,安全领导者同样需要优先考虑以下额外步骤:
了解合作伙伴网络的外部连接情况。这些合作伙伴和其他第三方是否对该漏洞了如指掌?他们是否按照上述技术步骤采取行动?
了解现有的检测和响应攻击以及修复网络问题的流程与习惯。当主动攻击开始时,需要立即采取行动,没时间启动评估团队的韧性和效率。此时正是将事件管理、漏洞修补以及不断演变的安全保护转变为持续流程的时刻。
通过这些流程优化,组织将采取更明智的立场来防范未来可能出现的 Rapid Reset 漏洞利用攻击,同时也做好应对更广泛的 DDoS 威胁格局其他转变的准备。
Cloudflare 如何提供协助
Cloudflare 是率先发现此零日漏洞的组织之一,并且一直在跟踪其演变,与业界共同努力确保组织受到保护。这些努力包括开发和推出专门构建的新技术,以阻止此类攻击并进一步提高 Cloudflare 网络缓解未来其他大规模攻击的能力。
这些改进建立在 Cloudflare 的现有优势之上,旨在帮助组织保护其免遭最大规模的攻击:
超过 321 Tbps 的网络容量,用于吸收最大数量的恶意流量
全球分布式缓解措施,让客户体验不因流量回传而受到影响
机器学习模型由独特的广泛威胁情报提供支持,用于在零日漏洞被公开披露之前检测并识别
Cloudflare 是业界领先的全球连通云公司。我们赋能各种组织,使其员工、应用和网络在全球任何地方都更快速、更安全,同时降低复杂性和成本。Cloudflare 的全球连通云提供功能齐全、统一的云原生产品和开发人员工具平台,让各种规模的组织都能获得所需的控制来开发、拓展和加速业务。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《预防宕机:DDoS 防御模型指南》电子书,了解关于缓解 DDoS 攻击的更多信息。
关键要点
阅读本文后,您将能够了解:
如何利用 Rapid Reset 漏洞发起大规模 DDoS 攻击
攻击者如何组合运用各种战术(例如DDoS 和零日漏洞)针对组织发起攻击
如何保护组织免遭漏洞攻击