- 2023년 8월, Google 서비스와 Cloud 고객들이 이전에 보고된 Layer 7 공격보다 훨씬 큰 새로운 HTTP/2 기반 DDoS 공격의 대상이 되었다.
- 가장 큰 공격은 초당 398백만 요청을 초과했지만, Google의 글로벌 로드 밸런싱 인프라에 의해 네트워크 가장자리에서 대부분 차단되었다.
- Google의 DDoS 대응팀이 공격을 검토하고 유사한 공격을 더욱 완화하기 위해 추가적인 보호 조치를 취했다.
- 2021년 말 이후 Google 서비스와 Google Cloud 프로젝트에서 관찰된 Layer 7 DDoS 공격의 대부분이 HTTP/2 기반으로 이루어졌다.
- HTTP/2는 "스트림"을 사용하여 엔드포인트 간에 다양한 메시지 또는 "프레임"을 전송하며, 이는 DDoS 공격을 더 효율적으로 만드는 데 사용될 수 있다.
- HTTP/2 Rapid Reset 공격은 클라이언트가 한 번에 많은 수의 스트림을 열고, 서버나 프록시로부터 각 요청 스트림에 대한 응답을 기다리는 대신 즉시 각 요청을 취소하는 것을 포함한다.
- 이 공격은 서버와 클라이언트 간에 이용 가능한 비용 비대칭을 만들며, 서버는 취소된 요청에 대해 상당한 작업을 계속해야 한다.
- Rapid Reset 공격의 변형이 관찰되었으며, 이는 일반적으로 초기 버전만큼 효율적이지 않지만, 표준 HTTP/2 DDoS 공격보다는 더 효율적일 수 있다.
- 이 공격 벡터에 대한 완화 조치는 여러 형태를 취할 수 있지만, 주로 연결 통계를 추적하고 다양한 신호와 비즈니스 로직을 사용하여 각 연결의 유용성을 판단하는 데 중점을 둔다.
- Google은 현재 HTTP/3가 대규모 DDoS 공격 벡터로 사용되는 것을 보지 않지만, HTTP/3 서버 구현이 단일 전송 연결에 의해 수행되는 작업량을 제한하는 메커니즘을 미리 구현하는 것을 권장한다.
- Google은 생태계 전반에 걸쳐 새로운 HTTP/2 벡터를 해결하기 위한 조정된 취약성 공개 과정을 주도적으로 도왔다.
- HTTP/2 서비스를 제공하는 모든 공급자들은 이 문제에 대한 노출을 평가하고 가능한 한 빨리 일반 웹 서버와 프로그래밍 언어에 대한 소프트웨어 패치와 업데이트를 적용해야 한다.