Upgrade to Pro — share decks privately, control downloads, hide ads and more …

HTTP/2 Rapid reset attack の概要

Murachi Akira
October 28, 2023
Technology
0
130

HTTP/2 Rapid reset attack の概要

「HTTP/2 Rapid reset attack の概要」(https://html5.connpass.com/event/298832/)でのセッションの投影スライドです
2023年8月末から観察された DDoS 攻撃で利用された新しい手法について概要を解説しています。

Murachi Akira

October 28, 2023
Tweet

More Decks by Murachi Akira

See All by Murachi Akira
Entra ID の基礎(Japan Microsoft 365 コミュニティ カンファレンス 2024)
murachiakira
0
26
Entra ID の多要素認証(Japan Microsoft 365 コミュニティ カンファレンス 2024 )
murachiakira
0
49
Windows Server 2025 Pay as you Go ライセンスを試す
murachiakira
0
110
HTTP Cache 再確認
murachiakira
0
5
Windows のファイルシステム - FAT/NTFS/ReFS など
murachiakira
0
5
Azure Backup はどこまでランサムウェアに対抗できるの?
murachiakira
0
290
Microsoft クラウド サービスのコスト管理
murachiakira
0
190
今更学ぶ Active Directory(2)
murachiakira
0
300
今更学ぶ Active Directory(1)
murachiakira
0
320

Other Decks in Technology

See All in Technology
EventHub Startup CTO of the year 2024 ピッチ資料
eventhub
0
130
Yahoo! JAPANトップページにおけるマイクロフロントエンド - 大規模組織におけるFE開発を加速させるには
lycorptech_jp
PRO
0
1.4k
Next.jsとNuxtが混在? iframeでなんとかする!
ypresto
2
2k
Postman Flowsで作るAPI連携LINE Bot
miura55
0
190
OOM発生時のトラブルシューティング Profilerを活用できるか調査してみた
atsushii
0
210
DynamoDB でスロットリングが発生したとき_大盛りver/when_throttling_occurs_in_dynamodb_long
emiki
1
510
Taming you application's environments
salaboy
0
210
The Rise of LLMOps
asei
11
2.1k
RDRAとLLM
kanzaki
1
150
生成AIが変えるデータ分析の全体像
ishikawa_satoru
0
310
Flutterによる 効率的なAndroid・iOS・Webアプリケーション開発の事例
recruitengineers
PRO
0
190
Storybook との上手な向き合い方を考える
re_taro
5
4k

Featured

See All Featured
For a Future-Friendly Web
brad_frost
175
9.4k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
860
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
10
740
Designing Experiences People Love
moore
138
23k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Visualization
eitanlees
145
15k
Typedesign – Prime Four
hannesfritz
40
2.4k
Bash Introduction
62gerente
608
210k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.3k
A Modern Web Designer's Workflow
chriscoyier
693
190k

Transcript

  1. HTTP/2 Rapid reset attack の概要 発見された新たな DDoS の手法 Murachi Akira

    aka Hebikuzure

  2. About me • Murachi Akira aka hebikuzure ( 村地 彰

    ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device (Windows) • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2

  3. 8月末からのDDoS •8月末から9月にかけて世界的な DDoS キャンペー ンが発生 •新しい DDoS 手法が利用されていることが判明 •HTTP/2 の仕様の弱点を利用した新しい手法

    ⇒HTTP/2 Rapid reset attack 3

  4. DoS/DDoS とは 4

  5. DoS (Denial of Service) 攻撃 •情報セキュリティにおける可用性を侵害する 攻撃手法 •フラッド攻撃 • 大量のリクエストや巨大なデータを送りつけてサービス

    を中断させる •脆弱性を利用する • サービスの脆弱性を利用してサービスを中断させる 5

  6. フラッド攻撃 6

  7. DDoS (Distributed Denial of Service) •乗っ取りやなりすましを利用して、多数のエンドポ イントからサービスへの攻撃を集中させる手法 •協調分散型DoS攻撃(乗っ取りを利用) • 乗っ取ったデバイスから攻撃対象にリクエストを送信

    •分散反射型DoS攻撃(なりすましを利用) • 攻撃対象になりすまし、大量のリクエストを送信 • 攻撃対象に大量のレスポンスが集中 7

  8. 協調分散型DoS 8

  9. TCP Syn Flood Syn Syn Syn Syn Syn Syn Syn-Ack

    Ack Ack Ack Ack AckAck Ack を 返さない 接続応答(Ack)待ち スレッドが増大 9

  10. HTTP/2 Rapid reset attack 10

  11. HTTP/2 ストリーム多重化 •HTTP/2 では 1 つの TCP 接続を複数の HTTP スト

    リーム(リクエストとそれに対応するレスポンス)で 共有する stream#1 HTTP Request HTTP Response stream#2 HTTP Request HTTP Response TCP 11

  12. ストリームのリセット •1つの TCP 接続内の特定のストリームだけ中断した い場合、クライアント/サーバーはリセット要求 (RST_STREAM フレーム)を送信できる • HTTP 1.1

    であれば TCP をリセットすれば良いが、 HTTP/2 では複数のストリームで共有されているので TCP はリセットできない •リセット要求はただちに処理される 12

  13. RST_STREAM stream#1 HTTP Request HTTP Response stream#2 HTTP Request RST_STREAM

    stream#3 HTTP Request HTTP Response TCP 13

  14. RST_STREAM の処理 •送信側 • 単に送信するだけ • 負荷は少ない •受信側 • それまでの処理のキャンセルが必要

    • それなりの処理量が必要 送信側と受信側の負荷が非対称 14

  15. HTTP/2 Rapid reset attack 1.HTTP/2 リクエストを送信 2.直後にリセット要求(RST_STREAM)を送信 3.これを高速・大量に繰り返す 4.サーバー側の負荷が増大 5.DoS

    成立 15

  16. リクエストとリセット リセット処理の負荷増大 HTTP/2 Request RST_STREAM 16

  17. 対策 •不正な(大量の)RST_STREAMを検知して TCP 接続をクローズ •不正な(大量の)RST_STREAMを送信する IP をブロック サーバー/ネットワークでの対処 17

  18. 対応状況 •主なネットワーク オペレーター(CDN など)では 対処完了 •サーバー製品(Web サーバー、フレームワーク、プロ キシなど)の対処も完了 ⇒ 要更新

    •詳細情報 CVE Record | CVE CVE-2023-44487 18

  19. Call to action •利用しているサーバー製品(Web サーバー、フレー ムワーク、プロキシなど)の対応状況を確認 •対応済みバージョンへの更新 •ネットワーク オペレーターの対応やガイダンスを 確認

    19

  20. 参考情報 • HTTP/2 Rapid Reset:記録的勢いの攻撃を無効化 (cloudflare.com) • 仕組み: 新手の HTTP/2「Rapid

    Reset」DDoS 攻撃 | Google Cloud 公式ブログ • How AWS protects customers from DDoS events | AWS Security Blog (amazon.com) • CVE-2023-44487 - セキュリティ更新プログラム ガイド - Microsoft - MITRE: CVE-2023-44487 HTTP/2 Rapid Reset Attack 20

  21. 21 ありがとうございました • Murachi Akira aka hebikuzure​ • https://www.linkedin.com/in/akiramurachi/ •

    https://www.facebook.com/amurachi/ • https://twitter.com/hebikuzure