HTTP/2 Rapid Reset という新たな DDoS テクニック：ピーク時で 398 million rps を記録

New ‘HTTP/2 Rapid Reset’ Technique Behind Record-Breaking DDoS Attacks

2023/10/10 SecurityAffairs — HTTP/2 Rapid Reset と名付けられた、新たなゼロデイ DDoS 攻撃手法が、８月以降の攻撃で悪用され、記録的な被害を及ぼしていることが、研究者たちにより明らかにされた。Google の発表は、ピーク時で 398 million rps (requests per second) に達する、一連の大規模な DDoS 攻撃を新たに観測したというものだ。この攻撃は、ストリームの多重化をベースとする、斬新な HTTP/2 Rapid Reset 技法に依存し、複数のインターネット・インフラ企業に影響を与えている。 

Google によると、このゼロデイ技術を使った攻撃は８月下旬に始まり、現在も進行中だという。具体的に言うと、Google のサービス／Google Cloud のインフラ／Google の顧客を対象とする、主要なインフラ・プロバイダーが標的にされているという。その一方で Google は、この攻撃を軽減することができたと主張している。

Google のポストには、「私たちの調査により、この攻撃は、広く採用されている HTTP/2 プロトコルの機能であるストリーム多重化を悪用する、新たな “Rapid Reset” テクニックが用いられていることが判明した。この新しい Rapid Reset テクニックを更に分析し、Layer 7 攻撃の進化について関連ブログで指摘していく」と記されている。この攻撃で悪用される脆弱性 CVE-2023-44487 (CVSS：7.5) は、Google により追跡されている。

Amazon も、このテクニックを悪用する攻撃の緩和を発表した。その攻撃は、155 million rps に達したという。その一方で Claudflare も、201 million rps に達する攻撃を観察している。

Cloudflareは「この攻撃は、HTTP/2 プロトコルの一部の機能と、サーバ実装を悪用することで可能となった (詳細は CVE-2023-44487 を参照)。また、HTTP/2 プロトコルの根本的な弱点を悪用しているため、HTTP/2 を実装しているあらゆるベンダーが攻撃の対象になると考えられる。その対象には、あらゆる最新の Web サーバが含まれる」と述べている。

この攻撃手法は、HTTP/2 のストリーム・キャンセル機能を悪用している。したがって、攻撃者は標的サーバへ向けて、リクエスト送信とキャンセルを繰り返すことで、DOS 状態を引き起こしている。

Google の研究者たちは、HTTP/2 プロトコルでは、クライアントが RST_STREAM フレームを送信することで、以前のストリームをキャンセルすべきことをサーバに示すことが可能だと説明している。このプロトコルにより、クライアントは一方的にキャンセルを要求できてしまう。

Google は、「この攻撃は、リクエスト・フレームを送信した直後に、エンドポイントが RST_STREAM フレームを送信する能力に依存しているため、Rapid Reset と呼ばれている。リクエストはキャンセルされるが、HTTP/2 接続はオープンなままである」と続けている。

HTTP/2 Rapid Reset 攻撃では、クライアントは一度に大量のストリームを開くが、サーバやプロキシからの各リクエスト・ストリームに対する応答を待たず、各リクエストを即座にキャンセルする。したがって、ストリームを直ぐにリセットすると、各接続で無制限の数のリクエストが処理される可能性が生じる。

計画的なリクエストのキャンセルを可能にする攻撃者は、同時にオープンされるストリー ムの最大限度を決して超えない範囲に留まれる。その結果、処理中のリクエストの数は利用可能なネットワーク帯域幅のみに依存するようになり、ラウンド・トリップ時間 (RTT：round-trip time) には影響を及ぼさなくなる。

Google のレポートは、「HTTP ベースのワークロードをインターネットに提供している企業や個人には、この攻撃のリスクにさらされる可能性がある。HTTP/2 プロトコルを使用して通信するサーバやプロキシ上の、Web アプリ／サービス／API には脆弱である可能性がある。組織は、HTTP/2 をサポートするサーバに、脆弱性がないことを確認する必要がある。また、脆弱性 CVE-2023-44487 に対するベンダーのパッチを適用して、この攻撃ベクターからの影響を抑える必要がある」と結論づけている。

HTTP/2 プロトコルの 脆弱性 CVE-2023-44487 の悪用により、HTTP/2 Rapid Reset という DDoS 手法が確立されたようです。そして、Google が 398 million rps という規模の攻撃を緩和したとのことですが、rps (requests per second) での測定値としては、2023/02/13 の「Cloudflare が HTTP DDoS 攻撃を阻止：過去最大級の 71M RPS という規模だった」という記事がありました。よろしければ、カテゴリ DDoS も、ご利用ください。