CDNetworks、南アジアおよび東南アジアのネットワークパフォーマンス強化のため10Tbpsの容量アップグレードを発表 - もっと詳しく

HTTP/2 Rapid Reset (ラピッドリセット攻撃)の脆弱性に対する DDoS 軽減策 (CVE-2023-44487)

2023 年 10 月 13 日
HTTP2 のラピッド リセットの脆弱性 - CDNetworks

コンテンツ

CDNetworksを無料でお試しください

当社のほとんど全ての製品に、14 日間の無料試用版があります。登録時、クレジットカードは必要ありません。

無料で試す
この投稿を共有

HTTP/2 Rapid Reset の脆弱性は、2023年10月10日に発表されました。

CDNetworksのセキュリティプラットフォームは、HTTP/2プロトコルのサービス拒否の脆弱性を悪用する、CVE-2023-44487として知られるゼロデイ脆弱性を検出しました。悪意ある攻撃者はこの脆弱性を悪用して、HTTP/2サーバーに対して大規模な DDoS攻撃を開始します。

公開データによると、この脆弱性を利用して開始されたDDoS攻撃の規模は3 億9,800 万qpsという驚異的な数字に達し、攻撃ピークの世界記録を一桁増やしています。

HTTP/2について

HTTP/2(Hypertext Transfer Protocol 2.0)は、インターネットの次世代HTTP プロトコルです。 HTTP/2では多重化技術が導入されており、複数の要求と応答を単一の接続上で同時に送信できるため、リソースの使用率が向上します。また、ヘッダー圧縮やサーバープッシュなどの機能もサポートしており、ネットワーク送信のオーバーヘッドを削減します。さらに、HTTP/2は暗号化された送信をサポートしており、セキュリティが強化されています。

脆弱性の詳細

従来のHTTP 1.1では、ブラウザにはドメインごとに同時に実行できるリクエストの数に一定の制限があります。制限を超えると、それ以上のリクエストはブロックされます。 HTTP/2には、ストリーム多重化と呼ばれる新しい機能が導入されています。 HEADERSフレームとDATAフレームで構成されるストリームと呼ばれる複数のリクエストを、TCP接続上で同時に、順不同で送信できます。これは、各ストリームに関連付けられた IDがあり、サーバがフレームがどのストリームに属しているか、および応答方法を識別できるためです。この機能によりパフォーマンスが大幅に向上します。

ただし、HTTP/2のこのような特性は攻撃者によって悪用される可能性もあり、DDoS攻撃がより効率的になります。

サーバは各フレームとストリームを処理するためにCPUとメモリリソースを消費する必要があるため、同時ストリーム機能を悪用するとサーバリソースが急速に枯渇する可能性があります。リソースの最大使用量を制御するために、サーバは同時ストリームの最大数に制限を設定します。ただし、HTTP/2プロトコルでは、クライアントが RST_STREAM フレームを送信して以前のストリームを一方的にキャンセルすることができます。これは、帯域幅の浪費を防ぐために、以前のリクエストへの応答を停止するようにサーバに通知するために使用されます。これにより、次のような現象が発生します。

クライアントがTCP接続上で同じリクエストに対するリクエストとリセットフレーム(RST_STREAM)の両方を同時に送信すると、サーバはリクエストをアクティブ状態とはみなさず、同時ストリーム制限にカウントしません。クライアントは同じTCP接続上で多数のストリームを開いてリセットできますが、サーバはキャンセルされたリクエストに対してかなりの量の作業を実行する必要があります。これにより、最終的にサーバのリソースが枯渇し、サービス妨害が発生します。

この方法を利用すると、攻撃者は攻撃のコストが防御のコストよりも大幅に低くなり、不公平な優位性を得ることができます。

  1. クライアントによる同時リクエストの最大数はラウンドトリップ時間(RTT)には依存せず、利用可能なネットワーク帯域幅のみに依存するため、クライアントは送信できる同時リクエストの数を大幅に増やすことができます。
  2. サーバはRST_STREAM を受信すると以前のリクエストへの応答を停止するため、攻撃に必要なサーバの帯域幅が減少します。

CDNetworksの対策

CDNetworksは、対応する緩和策を実装することでこの脆弱性に対処するための措置を直ちに講じました。 CDNetworksは、プラットフォーム全体にわたる単一の接続で転送できるHTTPリクエストの最大数を構成しました。これは脆弱性の影響を軽減するのに役立ち、構成はカスタマイズ可能であるため、顧客は必要に応じてしきい値を調整できます。

攻撃者はこの脆弱性を悪用して大規模なDDoS攻撃を仕掛けることができるため、まだ導入していないお客様は DDOS防御 に対応する保護をできるだけ早く有効にするための措置を講じることをおすすめします。

CDNetworksは、WebアプリケーションおよびAPI保護機能を迅速に強化して、DDoS保護を強化し、顧客のビジネスのセキュリティと安定性を確保しました。包括的な保護の恩恵を受けるには、すぐにカスタマーサービス チームに連絡してCDNetworksの実装を依頼してください。 Web アプリケーションと API の保護 解決。

CDNetworksのセキュリティ プラットフォームは、引き続きHTTP/2高速リセット攻撃を開始するIPアドレスをリアルタイムで分析および特定し、ネットワーク層で悪意のあるIPをブロックします。ネットワーク層の強力な処理性能を活かし、大規模な攻撃にも効果的に対処します。理論的には、このメカニズムにより無制限の保護が可能になります。

同時に、弊社のサービスを利用するお客様への攻撃を継続的に監視します。 WAAP さまざまな種類のセキュリティインシデントに対して、解決策を提示し、迅速に介入して対応します。

もっと詳しく知る

HTTP ヘッダーの最適化
CDN

CDNetworks が HTTP ヘッダーを最適化する方法

HTTPヘッダーはHTTPリクエストとレスポンスで送信されるキーと値のペアであり、クライアントとサーバー間の通信に関する重要な情報を提供します。コンテンツタイプ、エンコーディング、キャッシュ制御、認証などの詳細が含まれます。

続きを読む >>