Google mitigó el mayor ataque DDoS de la historia hasta el momento
Hace pocos días se dio a conocer la noticia de que Google registró el mayor ataque DDoS a su infraestructura, cuya intensidad fue de 398 millones de RPS (solicitudes por segundo). Los ataques se llevaron a cabo utilizando una vulnerabilidad previamente desconocida (CVE-2023-44487) en el protocolo HTTP/2, que permite enviar un gran flujo de solicitudes al servidor con una carga mínima para el cliente.
Se menciona que la nueva técnica de ataque llamada «Rapid Reset» aprovecha el hecho de que los medios de multiplexación de canales de comunicación proporcionados en HTTP/2 permiten formar un flujo de solicitudes dentro de una conexión ya establecida, sin abrir nuevas conexiones de red y sin esperando confirmación de recepción de paquetes.
La vulnerabilidad se considera consecuencia de un fallo en el protocolo HTTP/2 , cuya especificación establece que si se intenta abrir demasiados flujos, sólo se deben cancelar los flujos que superen el límite, pero no toda la red.
Dado que un ataque del lado del cliente se puede llevar a cabo simplemente enviando solicitudes sin recibir respuestas, el ataque se puede llevar a cabo con una sobrecarga mínima. Por ejemplo, un ataque de 201 millones de solicitudes por segundo registrado por Cloudflare se llevó a cabo utilizando una botnet relativamente pequeña de 20 mil computadoras.
En el lado del servidor, el costo de procesar las solicitudes entrantes es significativamente mayor, a pesar de su cancelación, ya que es necesario realizar operaciones como asignar estructuras de datos para nuevos subprocesos, analizar la solicitud, descomprimir el encabezado y asignar la URL al recurso. Al atacar servidores proxy inversos, el ataque puede extenderse a los servidores, ya que el proxy puede tener tiempo para redirigir la solicitud al servidor antes de que se procese la trama RST_STREAM.
Un ataque solo se puede llevar a cabo en servidores vulnerables que admitan HTTP/2 (un script para verificar la manifestación de vulnerabilidades en los servidores, herramientas para realizar un ataque). Para HTTP/3, los ataques aún no se han detectado y la posibilidad de que ocurran no se ha analizado completamente, pero los representantes de Google recomiendan que los desarrolladores de servidores agreguen medidas de seguridad a las implementaciones de HTTP/3 similares a las implementadas para bloquear ataques en HTTP/2.
De manera similar a los métodos de ataque utilizados anteriormente en HTTP/2, el nuevo ataque también crea una gran cantidad de subprocesos dentro de una sola conexión. La diferencia clave del nuevo ataque es que en lugar de esperar una respuesta, cada solicitud enviada va seguida de un marco con el indicador RST_STREAM, que cancela inmediatamente la solicitud.
Cancelar una solicitud en una etapa temprana permite deshacerse del tráfico inverso hacia el cliente y evitar las restricciones en la cantidad máxima posible de transmisiones que se abren simultáneamente dentro de una única conexión HTTP/2 en servidores HTTP. Así, en el nuevo ataque, el volumen de solicitudes enviadas al servidor HTTP deja de depender de los retrasos entre el envío de la solicitud y la recepción de la respuesta (RTT, tiempo de ida y vuelta) y depende únicamente del ancho de banda del canal de comunicación.
Se menciona que la ola de ataques más reciente comenzó a finales de agosto y continúa en la actualidad. Se dirige a los principales proveedores de infraestructura, incluidos los servicios de Google, la infraestructura de Google Cloud y sus clientes.
Aunque estos ataques estuvieron entre los más grandes que Google haya visto, su equilibrio de carga global y su infraestructura de mitigación de DDoS permitieron que sus servicios siguieran funcionando.
Para proteger a Google, sus clientes y el resto de Internet, ayudaron a liderar un esfuerzo coordinado con socios de la industria para comprender la mecánica del ataque y colaborar en las medidas de mitigación que se pueden implementar en respuesta a estos ataques.
Además de Google, Amazon y Cloudflare también se enfrentaron a ataques con una intensidad de 155 y 201 millones de RPS. Los nuevos ataques superan significativamente la intensidad del anterior ataque DDoS, que batió récords, en el que los atacantes lograron generar un flujo de 47 millones de solicitudes por segundo. A modo de comparación, se estima que todo el tráfico en toda la Web es de entre 1.000 y 3.000 millones de solicitudes por segundo.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.