パスワードを忘れた? アカウント作成
Close
17411272 story
アナウンス

Google、Cloudflare、Amazon、HTTP/2の脆弱性をついた最大規模のDDoS攻撃を検知 10

ストーリー by nagazou
共同発表 部門より
Google、Cloudflare、Amazonは10日、HTTP/2プロトコルに関連する脆弱性を悪用した最大規模のDDoS攻撃を検知したと発表した。HTTP/2は高速なWebページ表示を可能にするプロトコルで、約60%のWebアプリが現在HTTP/2を使用している。「CVE-2023-44487」を悪用するこの攻撃は「HTTP/2 Rapid Reset Attack」と名付けられている(Googleブログその1その2AmazonブログCloudflareブログその2セキュリティホール memoITmediaGIGAZINE)。

Googleは8月にこの攻撃を受け、1秒に3億9800万リクエストという驚異的な攻撃を受けたことを報告している。通常のリクエストの8倍以上で、Wikipediaへの1日分のリクエストをわずか10秒で処理する規模であり、過去最大の規模のものだったという。幸い、Googleは自社の負荷分散インフラを使用して攻撃のほとんどを阻止し、サービスの中断は回避されたとしている。またMicrosoftも10日、HTTP/2 Rapid Reset Attack脆弱性に関するパッチの提供を開始している(窓の杜)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Google、Cloudflare、Amazon、HTTP/2の脆弱性をついた最大規模のDDoS攻撃を検知 More

  • Wikipediaのリクエスト (スコア:0, 興味深い)

    by Anonymous Coward on 2023年10月13日 12時07分 (#4545235)

    最近のウィキペディアは
    blob:https://*.wikipedia.org/(ここにUUIDが入る)
    にアクセスしまくる余計な仕組みのせいで、表示が遅すぎ。
    こういう水増ししまくってる数字と比べても仕方ないんじゃないかと。

    • Re:Wikipediaのリクエスト (スコア:2, 興味深い)

      by Anonymous Coward on 2023年10月13日 12時41分 (#4545264)

      blob: URLへのアクセスはブラウザー内部で処理されて通信を発生させないが? 何いってんだ?

      シェア
      親コメント

      • Re:Wikipediaのリクエスト (スコア:1)

        by Anonymous Coward on 2023年10月13日 13時01分 (#4545284)

        お年寄りには優しく接しましょう。

        シェア
        親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        blobは訝しんだ。

      • Re: (スコア:0)

        by Anonymous Coward

        まぁ一応、外部から取得したデータを加工してblobとして読み直してることが多いので、何らかの通信の結果である率はそこそこ高い。
        そして、回りくどい事してそうなってることも多いので必要以上に遅かったり重かったりする設計とは相関がないこともない。

        でもやっぱ、直接的には無関係よな……

  • かなり盛ってそう (スコア:0)

    by Anonymous Coward on 2023年10月13日 13時01分 (#4545283)

    Googleのことだし

  • 中東関係? (スコア:0)

    by Anonymous Coward on 2023年10月13日 13時32分 (#4545317)

    でも8月にもあったなら違うかな
    https://japan.zdnet.com/article/35184554/ [zdnet.com]

  • 理屈と結果 (スコア:0)

    by Anonymous Coward on 2023年10月13日 22時14分 (#4545644)

    この攻撃はどうもHTTP/2の単一コネクションで複数のリクエストを並列に行える仕様を攻撃に使った物で
    リクエストの発行とキャンセルのペアを一つのコネクションに大量に流し込むらしい。
    # ……それって脆弱性なのか……?仕様では?
    なので一つのIPコネクションに対して膨大なリクエスト数がある、筈。

    しかし、キャンセルされているのでサーバはコンテンツで応答する必要もない。
    キャンセルされているのにレスポンスの準備を走らせてると負荷になるが、
    リクエストをキューイングしたりしてれば最初以降はレスポンスを準備する事なくキャンセルできそう。

    リクエスト数だと大きいけどコネクションは少ないし、
    応答もキャンセル効いてれば程々の負荷で済む。
    対策も増えるだろうしあまり意味のある攻撃ではないかも

    • Re: (スコア:0)

      by Anonymous Coward

      リクエストを受け付ける時点である程度の負荷があるので、他の攻撃に対する軽さが問題にならないぐらい大量のリクエストを送りつけるんじゃないですかね。
      それこそキューから溢れるぐらいとか。

      • Re: (スコア:0)

        by Anonymous Coward

        即キャンセルすることでリクエスト数の上限への抵触回避してるって説明があるので、
        キャンセルをリクエストと同じ優先度で逐次処理してれば
        キューに積んでも即座にキューから消すからキューは伸びない。
        キューの操作コストはリクエスト&キャンセル要求電文の生成コストよりは高そうだから、
        チリ積もで負荷にはなるだろうけど、数字のインパクトが先行しすぎとは思う。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs