# 새로운 HTTP/2 'Rapid Reset' DDoS 공격

> Clean Markdown view of GeekNews topic #11280. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=11280](https://news.hada.io/topic?id=11280)
- GeekNews Markdown: [https://news.hada.io/topic/11280.md](https://news.hada.io/topic/11280.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2023-10-11T10:03:34+09:00
- Updated: 2023-10-11T10:03:34+09:00
- Original source: [cloud.google.com](https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack)
- Points: 1
- Comments: 1

## Topic Body

- 2023년 8월, Google 서비스와 Cloud 고객들이 이전에 보고된 Layer 7 공격보다 훨씬 큰 새로운 HTTP/2 기반 DDoS 공격의 대상이 되었다.
- 가장 큰 공격은 초당 398백만 요청을 초과했지만, Google의 글로벌 로드 밸런싱 인프라에 의해 네트워크 가장자리에서 대부분 차단되었다.
- Google의 DDoS 대응팀이 공격을 검토하고 유사한 공격을 더욱 완화하기 위해 추가적인 보호 조치를 취했다.
- 2021년 말 이후 Google 서비스와 Google Cloud 프로젝트에서 관찰된 Layer 7 DDoS 공격의 대부분이 HTTP/2 기반으로 이루어졌다.
- HTTP/2는 "스트림"을 사용하여 엔드포인트 간에 다양한 메시지 또는 "프레임"을 전송하며, 이는 DDoS 공격을 더 효율적으로 만드는 데 사용될 수 있다.
- HTTP/2 Rapid Reset 공격은 클라이언트가 한 번에 많은 수의 스트림을 열고, 서버나 프록시로부터 각 요청 스트림에 대한 응답을 기다리는 대신 즉시 각 요청을 취소하는 것을 포함한다.
- 이 공격은 서버와 클라이언트 간에 이용 가능한 비용 비대칭을 만들며, 서버는 취소된 요청에 대해 상당한 작업을 계속해야 한다.
- Rapid Reset 공격의 변형이 관찰되었으며, 이는 일반적으로 초기 버전만큼 효율적이지 않지만, 표준 HTTP/2 DDoS 공격보다는 더 효율적일 수 있다.
- 이 공격 벡터에 대한 완화 조치는 여러 형태를 취할 수 있지만, 주로 연결 통계를 추적하고 다양한 신호와 비즈니스 로직을 사용하여 각 연결의 유용성을 판단하는 데 중점을 둔다.
- Google은 현재 HTTP/3가 대규모 DDoS 공격 벡터로 사용되는 것을 보지 않지만, HTTP/3 서버 구현이 단일 전송 연결에 의해 수행되는 작업량을 제한하는 메커니즘을 미리 구현하는 것을 권장한다.
- Google은 생태계 전반에 걸쳐 새로운 HTTP/2 벡터를 해결하기 위한 조정된 취약성 공개 과정을 주도적으로 도왔다.
- HTTP/2 서비스를 제공하는 모든 공급자들은 이 문제에 대한 노출을 평가하고 가능한 한 빨리 일반 웹 서버와 프로그래밍 언어에 대한 소프트웨어 패치와 업데이트를 적용해야 한다.

## Comments



### Comment 19806

- Author: neo
- Created: 2023-10-11T10:03:34+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=37830987) 
- 'Rapid Reset'이라는 새로운 유형의 DDoS 공격에 대한 기사
- 지금까지 가장 큰 DDoS 공격과 HTTP/2 Zero-Day 취약점에 대한 지속적인 논의
- 2018년에 haproxy 팀이 HTTP/2와 관련된 유사한 문제를 식별하고 완화했던 사실
- 일부 사용자들이 Google이 HTTP/2를 만들고, 그들이 만든 문제로부터 구원자로 자신을 제시하는 것을 비판
- 공격이 HTTP/2 서버 구현에서 비용 비대칭을 이용하는 방식
- 다른 프로토콜에서 이미 알려진 증폭 공격을 고려하면, 이 취약점이 HTTP/2 설계 과정에서 예상되지 않았다는 것에 대한 일부 사용자들의 놀라움
- 이 공격이 광고, 추적기, 부피가 큰 프론트엔드 프레임워크를 더 빠르게 전달하기 위한 HTTP2의 필요성의 결과로 보는 시각
- HTTP/2의 존재 이후 10년 만에 이 공격 유형이 나타났다는 점을 고려하면, HTTP/3와 QUIC에서 잠재적인 취약점에 대한 일부 사용자들의 우려
- Microsoft가 이 취약점에 대한 패치 세부 정보를 발표
- 일부 사용자들이 블로그 헤더가 계속 뜨면서 페이지를 읽을 수 없게 만드는 것을 발견
- 이 공격이 단순한 요청 플러드가 아닌 새로운 점에 대한 설명 요청