Amazon, Cloudflare ve Google, rekor düzeylerde DDoS saldırıları bildiriyor. Bunun nedeni yaygın olarak kullanılan ağ protokolü HTTP/2’deki bir güvenlik açığıdır. Raporlara göre saldırganlar Ağustos 2023’ten bu yana bu güvenlik açığından yararlanıyor.
Duyuru
DDoS saldırılarını günlüğe kaydedin
Bir raporda Google, saniyede 398 milyon istek içeren bir DDoS saldırısı gözlemlediğini söylüyor. Şirket, ağ kapasitesini genişleterek rekor kıran saldırıyı dizginlediğini açıkladı.
Normal HTTP/2 tabanlı DDoS saldırılarında, sunucu, TCP bağlantısı içindeki maksimum akış sayısını 100 (merkez) ile sınırlar. Hızlı sıfırlama saldırısı, saldırganların bir akışa istek göndermesine, akışı sıfırlamasına ve isteği iptal etmesine izin vererek bu sınırlamayı aşar. Bağlantı açık kalır. Sunucu işleme başlıyor ancak kesinti nedeniyle duruyor ve istekler limitin altına düşmüyor. Bu, arka arkaya sayısız isteğin mümkün olduğu ve sunucunun terlemeye başladığı anlamına gelir. Sonuçta sunucu bant genişliği olası isteklerin sayısını sınırlar.
(Resim: Google)
Cloudflare, yayınladığı raporda Rapid Reset adı verilen ilk saldırıları 2023 Ağustos ayı sonunda gözlemlediklerini anlatıyor. Onlara göre DDoS saldırısı, saniyede 71 milyonun üzerinde istekle bu yılın Şubat ayındaki saldırının yaklaşık üç katı büyüklüğünde bir hacime sahipti. Onlara göre, saldırıların yaklaşık 20.000 bilgisayarın ele geçirildiği nispeten küçük bir botnet’ten gelmesi endişe verici.
HTTP/2 protokolündeki zayıflık
Güvenlik açığının tehdit düzeyi (CVE-2023-44487) şu anda beklemededir. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) zaten Openwall, Kubernetes ve Apache Tomcat gibi etkilenen birçok yazılımı listeliyor. Henüz tüm güvenlik güncellemeleri yayınlanmadı. Örneğin Microsoft, Ekim Salı günü Patch’te yanıt verdi.
Bir güvenlik açığı olarak saldırganlar, TCP bağlantısı içindeki akışları bozmak için bu özellikten yararlanır. Bunu yapmak için sürekli istekler gönderirler ve RST_STREAM çerçevelerini kullanarak bunları iptal ederler, bu da akışın geri yüklenmesine yol açar. Bu, sunucuları zorlar ve bir DoS koşulunu tetikler. Google, istemcilerin ve sunucuların bir akışı iptal etmek için koordine olmaları gerekmediğini söylüyor. Müşteri bunu tek taraflı olarak yapabilir. Kısa bir süre içinde özellikle çok sayıda istek mümkündür ve saldırıya Hızlı Sıfırlama adı verilmiştir (resme bakın).
Yöneticiler, güvenlik düzeltme eklerini yüklemenin yanı sıra bağlantı günlüklerine de dikkat etmelidir: %50’si reddedilen 100 istek varsa, hızlı bir kurtarma saldırısı muhtemeldir. Bu nedenle, HTTP/2 sunucularını bu tür bağlantıları kapatacak şekilde yapılandırmanız önerilir.
(İtibaren)
Haberin Sonu
Duyuru
DDoS saldırılarını günlüğe kaydedin
Bir raporda Google, saniyede 398 milyon istek içeren bir DDoS saldırısı gözlemlediğini söylüyor. Şirket, ağ kapasitesini genişleterek rekor kıran saldırıyı dizginlediğini açıkladı.
Normal HTTP/2 tabanlı DDoS saldırılarında, sunucu, TCP bağlantısı içindeki maksimum akış sayısını 100 (merkez) ile sınırlar. Hızlı sıfırlama saldırısı, saldırganların bir akışa istek göndermesine, akışı sıfırlamasına ve isteği iptal etmesine izin vererek bu sınırlamayı aşar. Bağlantı açık kalır. Sunucu işleme başlıyor ancak kesinti nedeniyle duruyor ve istekler limitin altına düşmüyor. Bu, arka arkaya sayısız isteğin mümkün olduğu ve sunucunun terlemeye başladığı anlamına gelir. Sonuçta sunucu bant genişliği olası isteklerin sayısını sınırlar.
(Resim: Google)
Cloudflare, yayınladığı raporda Rapid Reset adı verilen ilk saldırıları 2023 Ağustos ayı sonunda gözlemlediklerini anlatıyor. Onlara göre DDoS saldırısı, saniyede 71 milyonun üzerinde istekle bu yılın Şubat ayındaki saldırının yaklaşık üç katı büyüklüğünde bir hacime sahipti. Onlara göre, saldırıların yaklaşık 20.000 bilgisayarın ele geçirildiği nispeten küçük bir botnet’ten gelmesi endişe verici.
HTTP/2 protokolündeki zayıflık
Güvenlik açığının tehdit düzeyi (CVE-2023-44487) şu anda beklemededir. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) zaten Openwall, Kubernetes ve Apache Tomcat gibi etkilenen birçok yazılımı listeliyor. Henüz tüm güvenlik güncellemeleri yayınlanmadı. Örneğin Microsoft, Ekim Salı günü Patch’te yanıt verdi.
Bir güvenlik açığı olarak saldırganlar, TCP bağlantısı içindeki akışları bozmak için bu özellikten yararlanır. Bunu yapmak için sürekli istekler gönderirler ve RST_STREAM çerçevelerini kullanarak bunları iptal ederler, bu da akışın geri yüklenmesine yol açar. Bu, sunucuları zorlar ve bir DoS koşulunu tetikler. Google, istemcilerin ve sunucuların bir akışı iptal etmek için koordine olmaları gerekmediğini söylüyor. Müşteri bunu tek taraflı olarak yapabilir. Kısa bir süre içinde özellikle çok sayıda istek mümkündür ve saldırıya Hızlı Sıfırlama adı verilmiştir (resme bakın).
Yöneticiler, güvenlik düzeltme eklerini yüklemenin yanı sıra bağlantı günlüklerine de dikkat etmelidir: %50’si reddedilen 100 istek varsa, hızlı bir kurtarma saldırısı muhtemeldir. Bu nedenle, HTTP/2 sunucularını bu tür bağlantıları kapatacak şekilde yapılandırmanız önerilir.
(İtibaren)
Haberin Sonu