HTTP/2 신속한 재설정 취약점으로 인해 역대 규모의 DDoS 발생
(cloud.google.com)- Google은 초당 3억 9800만 개의 요청이 들어오는 역대 규모의 DDoS를 처리함.
- 공격이 있던 2분간 발생한 요청 수는 위키피디아의 1달 트레픽보다 많음.
- 이 공격은 HTTP/2의 새로운 취약점인 신속한 재설정(Rapid Reset)에 의해 발생.
- HTTP/2 동작 방식에 따라 스트림 멀티플렉싱과 요청 취소 기능 사용.
- 한 클라이언트에서 네트워크 대역폭이 허락하는 한 무한한 수의 요청을 만들 수 있음.
- 원래 7계층 DoS 공격은 RTT, 동시 연결 수 에 의존하여 한 클라이언트가 많은 요청을 생성하는 데 제한적임.
- 하지만 이 방법은 요청 생성 후 즉시 취소하는 과정을 통해 아주 빠르게 요청을 생성 가능.
- 기존에 있던 역대 규모의 DDoS와 다르게 적은 수의 기기로 효과적인 공격이 가능.
- 이 취약점은 CVE-2023-44487에서 확인할 수 있으며, CVSS 점수는 7.5 점으로 심각한 수준.
- 다른 공급업체인 Cloudflare와 AWS도 각각 2.01억 RPS와 1.55억 RPS의 DDoS 공격을 받음.
- Cloudflare는 2만여 대의 봇넷에 의해 공격이 발생했다고 밝힘.
- 기존에 있던 거대 규모의 DDoS는 수십 ~ 수백만 대의 봇넷에 의해 발생함.
- Cloudflare는 2만여 대의 봇넷에 의해 공격이 발생했다고 밝힘.
-
Nginx, Caddy 등 웹 서버는 신속하게 패치를 진행하고 있음.
- 특이하게 HAProxy는 2018년에 이 문제를 해결함.
초당 요청이 거의 4억 회라니... 진짜 무시무시하네요.
HTTP/2 구현에 취약점이 있던 건데 이걸 완화한 구글, Cloudflare, AWS 등도 대단하긴 합니다.
제일 신기한 게 HAProxy가 2018년에 이 문제를 해결했다는 점 같아요.
당시에 이 취약점을 식별하고 수정한 건 아니지만, 나중에 다시 살펴보니 2018년에 제기된 문제가 이 취약점을 해결하는 아이디어였다고 합니다.
아무튼 웹 서버 쓰시는 분들은 이 취약점이 해결된 버전으로 업데이트 하시기를 바랍니다.