以下文章來源于谷歌云服務(wù)，作者 Google Cloud

此次攻擊采用了基于流多路復(fù)用的新型 HTTP/2 "快速重置" 方法

過去幾年中，Google 的 DDoS 響應(yīng)團(tuán)隊(duì)觀察到分布式拒絕服務(wù) (DDoS) 攻擊的規(guī)模呈指數(shù)級(jí)增長趨勢(shì)。去年我們抵擋了當(dāng)時(shí)記錄在案的最大 DDoS 攻擊 。今年 8 月，我們阻止了一次更大的 DDoS 攻擊，規(guī)模是去年的 7.5 倍，這次攻擊還使用了新的技術(shù)，試圖破壞網(wǎng)站和互聯(lián)網(wǎng)服務(wù)。

這一系列新的 DDoS 攻擊峰值達(dá)到了每秒 3.98 億次請(qǐng)求 (rps)，并使用了一種基于流多路復(fù)用的新型 HTTP/2 "快速重置" 技術(shù)，該技術(shù)已經(jīng)對(duì)多家互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司造成影響。相比之下，去年記錄在案的最大規(guī)模的 DDoS 攻擊峰值為每秒 4600 萬次請(qǐng)求。

就規(guī)模而言，這起兩分鐘的攻擊產(chǎn)生的請(qǐng)求數(shù)量超過了維基百科報(bào)告的 2023 年 9 月全月的文章瀏覽總量。

Google 擊退了峰值達(dá)每秒3.98億次請(qǐng)求的

DDoS 攻擊

最近一波攻擊始于 8 月下旬，并持續(xù)至今，攻擊目標(biāo)主要是基礎(chǔ)設(shè)施提供商，其中包括 Google 服務(wù)、Google Cloud 基礎(chǔ)設(shè)施和 Google Cloud 的客戶等。盡管這些攻擊是 Google 所見過的規(guī)模最大的攻擊之一，但我們的全球負(fù)載平衡和 DDoS 緩解基礎(chǔ)設(shè)施幫助我們保障了服務(wù)的正常運(yùn)行。為了保護(hù) Google、我們的用戶以及互聯(lián)網(wǎng)的其他部分，我們協(xié)助主導(dǎo)了與行業(yè)合作伙伴的協(xié)調(diào)工作，以了解攻擊機(jī)制，并合作部署可應(yīng)對(duì)這些攻擊的緩解措施。

一般而言，DDoS 攻擊試圖破壞面向互聯(lián)網(wǎng)的網(wǎng)站和服務(wù)，使其無法訪問。攻擊者將大量互聯(lián)網(wǎng)流量導(dǎo)向攻擊目標(biāo)，耗盡其處理傳入請(qǐng)求的能力。

DDoS 攻擊會(huì)對(duì)受害組織造成廣泛影響，包括業(yè)務(wù)損失和關(guān)鍵任務(wù)應(yīng)用程序無法運(yùn)行等，往往會(huì)耗費(fèi)受害者的時(shí)間和金錢。從 DDoS 攻擊中恢復(fù)所花的時(shí)間可能遠(yuǎn)遠(yuǎn)超過攻擊結(jié)束的時(shí)間。

我們的調(diào)查和應(yīng)對(duì)之策

我們的調(diào)查發(fā)現(xiàn)，本次攻擊使用了一種新型 "快速重置" 方法，利用了廣泛采用的 HTTP/2 協(xié)議的流多路復(fù)用功能。我們?cè)谝黄涮撞┛椭羞M(jìn)一步分析了這種新的快速重置方法，并討論了第 7 層攻擊的演變。

我們發(fā)現(xiàn)2023年9月期間攻擊活動(dòng)仍在繼續(xù)

我們能夠在 Google 網(wǎng)絡(luò)邊緣緩解攻擊，利用在邊緣節(jié)點(diǎn)容量方面的可觀投資，確保 Google 服務(wù)和用戶服務(wù)基本不受影響。隨著對(duì)攻擊方法了解得越來越詳細(xì)，我們開發(fā)了一套緩解措施，并更新了我們的代理和拒絕服務(wù)攻擊防御系統(tǒng)，以有效遏制這種攻擊方法。因?yàn)?Google Cloud 的 應(yīng)用負(fù)載均衡器 和 Cloud Armor 所使用的硬件和軟件基礎(chǔ)設(shè)施與 Google 自身面向互聯(lián)網(wǎng)的服務(wù)所采用的硬件和軟件基礎(chǔ)設(shè)施相同，因此使用這些服務(wù)的 Google Cloud 客戶使得其面向互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用和服務(wù)也受到了類似的保護(hù)。

行業(yè)協(xié)作與 CVE-2023-44487 應(yīng)對(duì)措施

在 8 月份檢測(cè)到這些攻擊的最初信號(hào)之后不久，Google 即采用了額外的緩解策略，并與其他實(shí)施 HTTP/2 協(xié)議棧的云提供商和的軟件維護(hù)者協(xié)調(diào)了采取跨行業(yè)響應(yīng)措施。在攻擊發(fā)生時(shí)，我們實(shí)時(shí)共享了有關(guān)攻擊和緩解方法的信息。

得益于這一跨行業(yè)協(xié)作，許多大型基礎(chǔ)設(shè)施提供商都使用了補(bǔ)丁和其他緩解技術(shù)。這樣的合作為今天以負(fù)責(zé)的態(tài)度統(tǒng)一披露新的攻擊方法以及眾多常見開源和商用代理服務(wù)器、應(yīng)用服務(wù)器和負(fù)載平衡器的潛在易感性打下了基礎(chǔ)。

這次攻擊的集體易感性被跟蹤為 CVE-2023-44487，并被定為高嚴(yán)重性漏洞，CVSS 得分為 7.5 (滿分 10 分)。

Google 衷心感謝所有跨行業(yè)的利益相關(guān)者，感謝他們通力合作、共享信息、加快對(duì)基礎(chǔ)設(shè)施的打補(bǔ)丁，并迅速向客戶提供補(bǔ)丁程序。

攻擊易感者和相應(yīng)的解決辦法

向互聯(lián)網(wǎng)提供基于 HTTP 的工作負(fù)載的任何企業(yè)或個(gè)人都可能面臨被這種攻擊入侵的風(fēng)險(xiǎn)。能夠使用 HTTP/2 協(xié)議進(jìn)行通信的服務(wù)器或代理上的網(wǎng)絡(luò)應(yīng)用程序、服務(wù)和 API 都可能存在漏洞。企業(yè)應(yīng)驗(yàn)證其運(yùn)行的任何支持 HTTP/2 的服務(wù)器是否存在漏洞，或應(yīng)用 CVE-2023-44487 的供應(yīng)商修補(bǔ)程序，以此限制這一攻擊向量的影響。如果您正在管理或運(yùn)行支持 HTTP/2 協(xié)議的自有服務(wù)器 (開源或商用)，則應(yīng)在相關(guān)供應(yīng)商推出補(bǔ)丁時(shí)立即安裝。

后續(xù)措施

防御大規(guī)模 DDoS 攻擊 (如本文所述) 是一件非常困難的事情。無論是否有補(bǔ)丁，企業(yè)都需要重金投資基礎(chǔ)設(shè)施，才能在面對(duì)任何中等規(guī)模或更大規(guī)模的攻擊時(shí)保持服務(wù)正常運(yùn)行。在 Google Cloud 上運(yùn)行服務(wù)的企業(yè)無需自己承擔(dān)這筆費(fèi)用，而是可以利用我們?cè)谌蚍秶鷥?nèi)對(duì) Cross-Cloud Network 的容量投資來交付和保護(hù)他們的應(yīng)用程序。

若 Google Cloud 用戶提供的服務(wù)使用了全球或區(qū)域應(yīng)用負(fù)載均衡器，則可以受益于 Cloud Armor 始終在線的 DDoS 保護(hù)，迅速緩解那些利用 CVE-2023-44487 等漏洞發(fā)起的攻擊。

盡管通過 Cloud Armor 始終在線的 DDoS 防護(hù)，我們能夠在 Google 網(wǎng)絡(luò)邊緣有效化解每秒數(shù)以億計(jì)的大部分請(qǐng)求，但每秒數(shù)以百萬計(jì)的不受歡迎的請(qǐng)求仍然能夠通過。為了防范這種攻擊和其他第 7 層攻擊，我們還建議部署 Cloud Armor 自定義安全策略，其中包括主動(dòng)速率限制規(guī)則和基于人工智能的自適應(yīng)保護(hù)，從而更加全面地檢測(cè)、分析和緩解攻擊流量。

---

?點(diǎn)擊屏末|閱讀原文|了解更多 Google Cloud 最新動(dòng)態(tài)