‘HTTP/2 Hızlı Sıfırlama’ adı verilen yeni bir DDoS (dağıtılmış hizmet reddi) tekniği, ağustos ayından bu yana sıfırıncı gün olarak aktif bir şekilde kullanıldı ve önceki tüm rekorları kırdı. Sıfırıncı gün tekniğine ilişkin haberler, saniyede 155 milyon isteğe (Amazon), 201 milyon rps’ye (Cloudflare) ve rekor kıran 398 milyon rps’ye (Google) ulaşan saldırıları bildiren Amazon Web Services, Cloudflare ve Google arasında koordineli bir duyuru olarak geliyor.
Google, ağlarının uç kısmına daha fazla kapasite ekleyerek bu yeni saldırıları karşılayabildiklerini söylüyor.
Cloudflare, hafiflettiği saldırının boyutunun Şubat 2023’teki önceki rekordan (71 milyon rps) üç kat daha büyük olduğunu ve bunun 20.000 makineden oluşan nispeten küçük bir botnet kullanılarak başarılmasının endişe verici olduğunu belirtiyor.
Ağustos sonundan bu yana Cloudflare, 10 milyon rps’yi aşan binden fazla ‘HTTP/2 Hızlı Sıfırlama’ DDoS saldırısını tespit etti ve hafifletti; bunların 184’ü önceki 71 milyon rps rekorunu kırdı.
Cloudflare, daha fazla tehdit aktörünün bu yeni saldırı yöntemiyle birlikte daha kapsamlı botnet’ler kullanması nedeniyle HTTP/2 Hızlı Sıfırlama saldırılarının daha da büyük rekorlar kırmaya devam edeceğini söylüyor :
“Günümüzde yüzbinlerce veya milyonlarca makineden oluşan botnet’ler var. Web’in tamamının saniyede yalnızca 1-3 milyar istek gördüğü göz önüne alındığında, bu yöntemi kullanmanın tüm web’deki isteklerin az sayıda hedefe odaklanabilmesi düşünülemez değil.”
HTTP/2 Hızlı Sıfırlama Saldırısı Nedir?
Yeni saldırı, CVE-2023-44487 olarak takip edilen ve HTTP/2 protokolündeki bir zayıflığı kullanan sıfırıncı gün güvenlik açığından yararlanıyor. Basitçe açıklamak gerekirse, saldırı yöntemi HTTP/2’nin akış iptal etme özelliğini kötüye kullanarak istekleri sürekli olarak gönderip iptal ediyor, hedef sunucuyu/uygulamayı aşırı yoruyor ve bir DoS durumu yaratıyor.
HTTP/2, DoS saldırılarını önlemek için eşzamanlı olarak aktif akışların sayısını sınırlayan bir parametre biçiminde bir korumaya sahiptir; ancak bu her zaman etkili değildir.
Protokol geliştiricileri, “istek iptali” adı verilen, tüm bağlantıyı kesmeyen ancak kötüye kullanılabilen daha etkili bir önlem getirdi.
Kötü niyetli aktörler, ağustos ayının sonlarından bu yana bu özelliği kötüye kullanarak bir sunucuya çok sayıda HTTP/2 isteği ve sıfırlama (RST_Stream çerçeveleri) göndererek sunucudan her birini işlemesini ve hızlı sıfırlamalar yapmasını talep ederek, sunucunun yeni gelen isteklere yanıt verme kapasitesini aşıyor. Google konuyla ilgili gönderisinde şöyle dedi :
“Protokol, istemci ve sunucunun iptal işlemini hiçbir şekilde koordine etmesini gerektirmiyor, müşteri bunu tek taraflı olarak yapabilir. İstemci ayrıca, sunucu RST_STREAM çerçevesini aldığında, TCP bağlantısındaki diğer veriler işlenmeden önce iptal işleminin hemen etkili olacağını varsayabilir.”
Cloudflare, HTTP/2 proxy’lerin veya yük dengeleyicilerin hızlı bir şekilde gönderilen uzun sıfırlama istekleri dizilerine karşı özellikle duyarlı olduğunu açıklıyor.
Firmanın ağı, TLS proxy’si ile yukarı yöndeki muadili arasındaki noktada aşırı yük altındaydı, dolayısıyla hasar, kötü istekler blok noktasına ulaşmadan önce verilmişti. Gerçek dünyadaki etkisi açısından bu saldırılar, Cloudflare müşterileri arasında 502 hata raporunda artışa neden oldu.
Cloudflare, internet firmasının tüm altyapısını kapsayacak şekilde genişlettiği ‘IP Hapishanesi’ adı verilen hiper-hacimsel saldırıları yönetmek için tasarlanmış bir sistemi kullanarak bu saldırıları sonunda azalttığını söylüyor.
Bu sistem, rahatsız edici IP’leri “hapsediyor” ve belirli bir süre boyunca herhangi bir Cloudflare alanı için HTTP/2 kullanmalarını engelliyor ve hapse atılan IP’yi paylaşan meşru kullanıcıları küçük bir performans düşüşüyle etkiliyor.
Amazon , etkilerine ilişkin herhangi bir ayrıntı vermeden bu saldırılardan düzinelercesini hafiflettiğini ve müşteri hizmetlerinin kullanılabilirliğinin korunduğunun altını çizdi.
3 firma da, müşterilerin HTTP/2 Hızlı Sıfırlama saldırılarına karşı koymaları için en iyi yaklaşımın mevcut tüm HTTP taşkın koruma araçlarını kullanmak ve DDoS dayanıklılıklarını çok yönlü hafifletme yöntemleriyle desteklemek olduğu sonucuna varıyor.
Ne yazık ki bu taktik HTTP/2 protokolünü kötüye kullandığından saldırganların bu DDoS tekniğini kullanmasını tamamen engelleyen genel bir düzeltme bulunmuyor.
Bunun yerine, protokolü kendi yazılımlarında kullanan yazılım geliştiricileri, HTTP/2 Hızlı Sıfırlama saldırılarını azaltmak için hız kontrolleri uyguluyor.
Ayrı bir gönderide Cloudflare, güvenlik satıcılarına ve paydaşlara tehdide daha fazla tehdit aktörü tarafından duyurulmadan ve “kedi fare” oyunu başlamadan önce tepki vermelerine zaman tanımak için sıfırıncı gün sırrını bir aydan fazla bir süre boyunca saklamak zorunda kaldıklarını açıklıyor.