Upgrade to Pro — share decks privately, control downloads, hide ads and more …

HTTP/2 Rapid reset attack の概要

HTTP/2 Rapid reset attack の概要

「HTTP/2 Rapid reset attack の概要」(https://html5.connpass.com/event/298832/)でのセッションの投影スライドです
2023年8月末から観察された DDoS 攻撃で利用された新しい手法について概要を解説しています。

Murachi Akira

October 28, 2023
Tweet

More Decks by Murachi Akira

Other Decks in Technology

Transcript

  1. About me • Murachi Akira aka hebikuzure ( 村地 彰

    ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device (Windows) • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2
  2. TCP Syn Flood Syn Syn Syn Syn Syn Syn Syn-Ack

    Ack Ack Ack Ack AckAck Ack を 返さない 接続応答(Ack)待ち スレッドが増大 9
  3. HTTP/2 ストリーム多重化 •HTTP/2 では 1 つの TCP 接続を複数の HTTP スト

    リーム(リクエストとそれに対応するレスポンス)で 共有する stream#1 HTTP Request HTTP Response stream#2 HTTP Request HTTP Response TCP 11
  4. ストリームのリセット •1つの TCP 接続内の特定のストリームだけ中断した い場合、クライアント/サーバーはリセット要求 (RST_STREAM フレーム)を送信できる • HTTP 1.1

    であれば TCP をリセットすれば良いが、 HTTP/2 では複数のストリームで共有されているので TCP はリセットできない •リセット要求はただちに処理される 12
  5. 参考情報 • HTTP/2 Rapid Reset:記録的勢いの攻撃を無効化 (cloudflare.com) • 仕組み: 新手の HTTP/2「Rapid

    Reset」DDoS 攻撃 | Google Cloud 公式ブログ • How AWS protects customers from DDoS events | AWS Security Blog (amazon.com) • CVE-2023-44487 - セキュリティ更新プログラム ガイド - Microsoft - MITRE: CVE-2023-44487 HTTP/2 Rapid Reset Attack 20