DDoS 攻擊的下一個時代
HTTP/2「快速重設」漏洞意味著威脅情勢發生轉變
2023 年 10 月,Cloudflare 協助揭露了 HTTP/2 通訊協定中的一個零時差漏洞,該漏洞可能會導致針對 Web 伺服器和 Web 應用程式等 HTTP 資源的高流量 DDoS 攻擊。在該漏洞被發現後的幾週內,攻擊者便利用它發起了數百次刷新紀錄的攻擊。
安全性領導者們見過無數諸如此類的「破紀錄」和「變革性」公告,通常對大多數這類公告都持保留態度。然而,這次的公告不同於以往,原因有幾點,並且它標誌著整體威脅情勢的轉變。
為了成功應對這一轉變,安全性領導者將需要加速雲端遷移的關鍵環節,並更好地瞭解其面向客戶的整個 Web 基礎架構中的風險。
DDoS 攻擊情勢發生重大轉變
在 21 世紀 10 年代,許多規模最大且影響最深遠的 DDoS 攻擊利用了 OSI 模型的第 3 層和第 4 層。攻擊者發現這是一種相對可靠的策略,並反覆使用。著名的案例包括 2013 年的 SpamHaus 攻擊、2016 年的 Dyn 攻擊以及 2019 年的 Wikimedia 攻擊,其中 Dyn 攻擊產生了超過 1.3 Tbps 的惡意流量。
當然,隨著時間的推移,各組織也做出了調整。隨著雲端服務的採用率不斷提高,企業需要保護的自身網路基礎架構減少了,並且企業還投資於專門用於緩解大型網路 DDoS 攻擊的技術。
正如歷史會重演,攻擊者會改變策略也就不足為奇了。近年來,一些引人注目的 DDoS 攻擊利用了第 7 層通訊協定,這揭示了一種新的攻擊趨勢。這些攻擊包括:
規模極大
更著重於流量數量(一段時間內請求的速度與數量),而非流量大小(每個封包、請求等的頻寬)
基於更為複雜的策略,例如利用零時差漏洞、以新穎方式復用舊技術,以及針對特定產業與組織發動攻擊
新的 HTTP/2 漏洞便是這些趨勢的一個典型範例,給各組織帶來了若干獨特挑戰。要理解其中緣由,需要簡要說明一下該漏洞的運作方式。
新的 HTTP/2 漏洞具有獨特的風險
這個零時差漏洞之所以被稱為「快速重設」(Rapid Reset),是因為它利用了 HTTP/2 的串流取消功能。
在 HTTP/2 通訊協定中,串流是用戶端與伺服器之間的請求和回應序列。關鍵在於,請求者可以單方面建立或取消一個串流。這項功能有許多正當的使用理由,但在「快速重設」攻擊中,威脅執行者會產生大量惡意取消請求,以繞過目標伺服器通常採用的速率限制。(詳細的技術分析請參見此處。)
Cloudflare 觀察到攻擊者利用這種方法產生了強大的影響力。在那段時間內,數百起「快速重設」攻擊超越了 Cloudflare 之前記錄的每秒 7,100 萬個惡意請求 (rps) 的峰值。其中規模最大的一起,其惡意請求量更是達到該紀錄的三倍之多。
這為何令人擔憂?
原因之一在於攻擊者的基礎架構。這次打破紀錄的攻擊動用了由 20,000 台機器組成的殭屍網路——而按照現代殭屍網路的標準來看,20,000 台的規模相對算是較小的。作為參考,Cloudflare 經常偵測到由數十萬甚至數百萬台機器組成的殭屍網路。
此外,這個漏洞本身極為普遍。大約 62% 的網際網路流量都使用 HTTP/2 通訊協定,這意味著大多數 Web 應用程式和伺服器從本質上來說都易受攻擊。Cloudflare 的初步研究顯示,HTTP/3 可能也很容易受到攻擊,這樣一來,只有 HTTP/1.1 不受影響。然而,退回到 HTTP/1.1 可以說並非切實可行的選擇,因為現代網際網路的很多部分都依賴於 HTTP/2 和 HTTP/3 的效能改進。
這意味著,未來幾個月甚至幾年內,該漏洞極有可能被加以利用和改造。隨著更多資源豐富的新攻擊團夥對其進行嘗試,不難想象,很快將會再次打破 DDoS 紀錄。
那麼,安全性領導者及其團隊應該採取哪些措施來確保自身安全呢?
保護您的組織免受 HTTP/2 漏洞以及更廣泛的 DDoS 攻擊
每項安全措施都需要技術與流程的成功結合,應對新一代第 7 層 DDoS 攻擊也不例外。
在技術層面上,安全性領導者應優先採取以下步驟:
將第 7 層 DDoS 緩解移至資料中心之外。即便是最強大的 DDoS 緩解硬體,面對像「快速重設」這樣的超流量攻擊,也可能會不堪重負。如果您的組織一直在考慮將第 7 層 DDoS 防護遷移至雲端,現在正是行動的好時機。
考慮採用第二家基於雲端的第 7 層 DDoS 緩解服務提供者,以增強韌性。雖然精確預測未來攻擊的規模頗為困難,但對於特別關鍵的 Web 應用程式而言,這通常是一種普遍的最佳做法。
確保在所有面向網際網路的 Web 伺服器上部署相關 Web 伺服器和作業系統修補程式。此外,請確保所有自動化(例如,Terraform)組建和映像均已完全修補,這樣舊版 Web 伺服器就不會意外地透過安全映像部署到生產環境中。
僅靠技術手段並不能提供足夠的保護。其中一個原因與修補程式安裝有關。單獨來看,這是一件簡單的事情,但要將其落實到位,使其能持續定期進行,卻頗具難度。為了說明這一令人遺憾的事實,不妨看看這樣一個範例:在上述 Log4J 漏洞被披露並且修補程式發佈一年後,大多數企業仍然部分暴露於漏洞風險。
此外,現代 Web 應用程式比以往任何時候都更加依賴合作夥伴關係和第三方整合——而所有這些也都容易受到攻擊。因此,對於安全性領導者而言,優先採用以下其他步驟同樣重要:
瞭解合作夥伴網路的外部連線性。這些合作夥伴及其他第三方是否充分瞭解該漏洞?他們是否正在採取上述技術步驟來進行防範?
瞭解您用於偵測和回應攻擊以及修復網路問題的現有流程和習慣。當攻擊已經開始時,並沒有時間來讓您評估團隊韌性和效率。現在正是將事件管理、修補程式安裝以及完善安全防護措施轉變為持續性流程的時刻。
透過這些流程改進措施,各組織將能夠更審慎地應對未來可能出現的類似「快速重設」漏洞利用的情況,同時也能讓自身做好準備,應對更廣泛的 DDoS 威脅情勢中的其他變化。
Cloudflare 如何助您一臂之力
Cloudflare 是最早發現這個零時差漏洞的組織之一,並持續追蹤其演變,與整個產業合作,確保各組織能夠得到保護。這些努力包括開發並推出專門用於阻止這類攻擊的全新技術,進一步提升 Cloudflare 網路在未來緩解其他大規模攻擊的能力。
這些改進建立在 Cloudflare 現有優勢之上,旨在幫助各組織防禦規模最大的攻擊:
超過 321 Tbps 的網路容量,足以吸收最大量的惡意流量
全球分散的緩解機制,確保您的客戶體驗不會因流量回傳而受到影響
由獨特廣泛的威脅情報提供支援的機器學習模型,能在眾多零時差漏洞被公開前就將其攔截
Cloudflare 是業界領先的全球連通雲公司。它為各种組織提供支援,不僅幫助世界各處的員工、應用程式和網路提升速度和安全性,還降低了複雜性和成本。Cloudflare 的全球連通雲提供了功能最齊全的統一雲端原生產品和開發人員工具平台,因此,任何組織都能獲得高效工作、不斷開發和加速業務所需的控制能力。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
深入探討這個主題。
取得《阻止停機:DDoS 防禦模型指南》電子書,深入瞭解 DDoS 緩解措施。
重點
閱讀本文後,您將能夠瞭解:
利用「快速重設」漏洞如何導致大規模 DDoS 攻擊
攻擊者如何結合不同策略(如 DDoS 和零時差漏洞)來針對組織發起攻擊
如何保護您的組織免受漏洞影響