398 Millionen Anfragen pro Sekunde

Zero-Day-Schwachstelle in HTTP/2 führt zu neuem DDoS-Rekord

Uhr
von Maximilian Schenner und rja

Google will im August die bisher grösste DDoS-Attacke gestoppt haben. Sie erreichte Spitzen über 398 Millionen Anfragen pro Sekunde. Auslöser ist eine Zero-Day-Schwachstelle in HTTP/2.

(Source: markusspiske / pixabay.com)
(Source: markusspiske / pixabay.com)

DDoS-Attacken (Distributed Denial of Service) sind im Trend. Die Angreifer überladen dabei Websites mit Anfragen, bis diese unter der Wucht einbrechen und offline gehen. Im vergangenen Sommer gerieten unter anderem die Bundes-Websites unter massiven DDoS-Beschuss.

Google berichtet nun, im August 2023 die bisher grösste DDoS-Attacke überhaupt blockiert zu haben. Das Unternehmen spricht von Spitzen über 398 Millionen Anfragen pro Sekunde. "Um ein Gefühl für die Grössenordnung zu bekommen: dieser zweiminütige Angriff generierte mehr Anfragen als die Gesamtzahl der von Wikipedia gemeldeten Artikelaufrufe während des gesamten Monats September 2023", schreibt Google. Der Rekord aus dem letzten Jahr lag "nur" bei 46 Millionen rps (Requests per second).

Die DDoS-Attacke, die Google im August 2023blockierte. (Source: Screenshot / Google)

Die DDoS-Attacke, die Google im August 2023blockierte. (Source: Screenshot / Google)

Die aktuelle Angriffswelle habe Ende August begonnen und dauere bis heute an, heisst es weiter. Die Angreifer würden auf grosse Infrastruktur-Betreiber abzielen, darunter auch Dienste von Google, die Google-Cloud-Infrastruktur sowie Kunden des Unternehmens. Auch andere Cloud-Anbieter verzeichneten Ähnliches. So berichtet Cloudflare von einem Angriff mit mehr als 201 Millionen Anfragen pro Sekunde. AWS spricht von einer Attacke, die am Peak 155 Millionen rps erreichte. Zusammen mit den Branchenpartnern arbeite man nun daran, die Angriffsmechanismen zu verstehen und Massnahmen dagegen zu entwickeln, schreibt Google.

Schwachstelle in HTTP/2 als Auslöser

Als Ursache für die rekordverdächtige DDoS-Welle wurde die neu entdeckte Zero-Day-Schwachstelle "Rapid Reset" im HTTP/2-Protokoll ausgemacht. Google führt die Schwachstelle unter der Bezeichnung CVE-2023-44487. Es handle sich dabei um den missbräuchlichen Einsatz sogenannter RST_STREAM-Frames innerhalb einer TCP-Verbindung, erklärt Google in einem separaten Blogpost. Ein Client könne dadurch einen zuvor aufgebauten HTTP/2-Stream abbrechen. "Das Protokoll verlangt nicht, dass der Client und der Server den Abbruch in irgendeiner Weise koordinieren, der Client kann dies einseitig tun", erklärt Google. Die Anfrage werde daraufhin abgebrochen, die HTTP/2-Verbindung bleibe offen. In weiterer Folge könne der Angreifer laufend neue Streams eröffnen und wieder abbrechen und damit das System zum Crash bringen.

So laufen die Angriffe ab. (Source: Screenshot / Google)

So laufen die Angriffe via "Rapid Reset" ab: Der Client startet eine Serveranfrage, bricht diese ab und eröffnet laufend neue Streams. (Source: Screenshot / Google)

Jedes Unternehmen oder jede Einzelperson, die HTTP-basierte Arbeitslasten im Internet bereitstellt, könne durch diesen Angriff gefährdet sein, warnt Google. Unternehmen sollten prüfen, ob alle ihre Server, die HTTP/2 unterstützen, anfällig sind, und Hersteller-Patches für die Sicherheitslücke anwenden.

Übrigens: DDoS-Attacken kommen aktuell auch im Israel-Konflikt zum Einsatz. So brachten Angreifer auf diese Weise die Tageszeitung "Jerusalem Post" vorübergehend zu Fall - wie Hacktivisten sonst noch im Konflikt mitmischen, lesen Sie hier. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
98wFck6C