Cloudflare, Google, Microsoft en Amazon kregen in de afgelopen maand allemaal DDoS Layer 7-aanvallen voor de kiezen. De aanvallen waren enorm krachtig van aard door een zeroday-kwetsbaarheid in het HTTP/2-protocol.
Hackers hebben een kwetsbaarheid in het HTTP/2-protocol weten te misbruiken voor het sturen van DDoS-aanvallen. Cloudflare, Google, Microsoft en Amazon berichtten allemaal dat ze deze aanvallen succesvol konden afwenden. De oorzaak van de aanvallen noemen zij het ‘HTTP/2 Rapid Reset’.
Hoe werkt het?
In een blog geeft Google meer uitleg over de precieze werking van ‘HTTP/2 Rapid Reset’. HTTP/2 werd ontworpen als een efficiënter internetprotocol. Alleen zijn de elementen die het protocol efficiënt maken ook uit te buiten door hackers voor Layer 7 DDoS-aanvallen.
In essentie werkt een Rapid Reset door het sturen van een ‘stream’ naar een pagina en deze handeling vervolgens snel opnieuw te annuleren. Een ‘stream’ is in feite een tweerichtingsverkeer dat wordt opgezet tussen gebruiker en server om verzoeken uit te wisselen. Om efficiënt te werken voor de eindgebruiker, komt de ‘stream’ nooit tot stand door de annulatie, maar de HTTP/2-connectie blijft in de tussentijd wel open om de ‘streams’ af te handelen.
Hackers misbruiken dit door veel ‘streams’ te sturen en deze snel te laten opvolgen door annulaties. De verzoeken krijgen geen respons van de server doordat ze snel genoeg werden geannuleerd, waardoor de hacker bovendien minder downlink-bandbreedte overhoudt.
Het protocol heeft eigenlijk wel een limiet om dergelijke aanvallen te blokkeren, maar via een Rapid Reset werken hackers om dit limiet heen. In theorie mogen er namelijk maar honderd ‘streams’ tegelijk worden gestuurd vanaf één TCP-connectie, maar de annulering zorgt ervoor dat de ‘stream’ niet meetelt voor deze limiet. Aangezien de server aan de ontvangende zijde wel zaken heeft af te handelen, kan een snelle opvolging van Rapid Reset-verzoeken de server overspoelen.
398 miljoen verzoeken per seconde
Google rapporteerde de zwaarste aanval door te maken in augustus. Hierin liep het aantal verzoeken op tot 398 miljoen per seconde. Volgens de zoekgigant was de aanval zeven keer groter dan de zwaarste aanval die het daarvoor meemaakte. Bij Cloudflare haalden de aanvallen ook onmiddellijk het record binnen, met 201 miljoen verzoeken per seconde. Het vorige record stond daar bovendien pas sinds februari dit jaar en kwam uit op 70 miljoen verzoeken per seconde.
Lees ook: DDoS-aanvallen zijn vaker doelgericht en hardnekkig