Dieser DDoS-Angriff kann eine Bombe sein. (Symbolbild)
Dieser DDoS-Angriff kann eine Bombe sein. (Symbolbild)
Bildquelle: 85ruphoto, Lizenz

Rapid Reset DDoS-Angriff: Eine neue Gefahr für die Sicherheit im Netz

Der neue Rapid Reset DDoS-Angriff nutzt eine Schwäche im HTTP/2-Protokoll. Das fiese daran ist, dass den Angreifern kaum Kosten entstehen.

Im August dieses Jahres waren viele Google-Dienste und Cloud-Kunden einem DDoS-Angriff ausgesetzt. Aber dieser Angriff unterschied sich erheblich von den herkömmlichen Attacken, die wir gewohnt sind. Die Angreifer operierten auf Basis des HTTP/2-Protokolls und erreichten eine Anfragerate von 398 Millionen pro Sekunde. Was hat sich genau geändert und wie können wir uns vor dieser neuen Bedrohung schützen?

Was ist HTTP/2 und wie funktioniert es für Angriffe?

HTTP/2, das seit Ende 2021 weit verbreitet ist, ermöglicht eine effektivere Übertragung von Daten im Internet. Es beruht auf dem Konzept des Stream-Multiplexings, das es Clients erlaubt, mehrere Anfragen zugleich über eine einzige TCP-Verbindung zu senden. Normalerweise begrenzen Server die Anzahl solcher gleichzeitiger Anfragen.

Der neue Rapid Reset DDoS-Angriff nutzt jedoch eine Schwäche im Protokoll aus. Der Angreifer sendet viele Anfragen und bricht sie sofort ab. Dadurch werden die Server überlastet, ohne dass die Verbindung geschlossen wird.

Der Rapid Reset DDoS-Angriff im Detail

Beim Rapid Reset DDoS-Angriff sendet der Angreifer also viele Anfragen und bricht diese sofort ab. Die Server müssen aber trotzdem arbeiten, um diese Requests zu bearbeiten. Das Hauptproblem hierbei ist, dass die Hacker die Kosten für die Übermittlung der Anfrage nicht tragen, während der Server erhebliche Ressourcen für die Verarbeitung aufbringen muss. Bei diesem DDoS-Angriff kommt es demnach zu einer deutlichen Kostenasymmetrie zwischen dem Angreifer und dem Server.

Der Rapid Reset DDoS-Angriff im Vergleich zu herkömmlichen DDoS-Angriffen
Der Rapid Reset DDoS-Angriff im Vergleich zu herkömmlichen DDoS-Angriffen

Es gibt auch verschiedene Varianten dieses DDos-Angriffs, die beobachtet wurden. In einer Version öffnet der Angreifer mehrere Datenströme, wartet eine Weile und bricht dann ab, um sofort einen neuen Datenstrom zu öffnen. In einer anderen Variation versucht der Eindringling optimistisch, mehr Streams zu öffnen, als der Server zulässt. Beide Varianten ermöglichen effektivere Angriffe als herkömmliche Methoden. Dies berichtet der Google-Cloud-Blog in einem aktuellen Beitrag.

Und wie können wir uns schützen?

Eine einfache Blockierung von Anfragen reicht bei diesem DDoS-Angriff nicht aus. Wenn ein Angriff erkannt wird, muss die gesamte TCP-Verbindung geschlossen werden. Im HTTP/2-Protokoll gibt es Mechanismen wie z. B. das GOAWAY-Frame, um Verbindungen zu schließen. Diese sollten jedoch so eingestellt werden, dass die Erstellung von Streams eingeschränkt wird, um Angriffe zu stoppen.

Google arbeitet momentan aktiv daran (CVE-2023-44487), Gegenmaßnahmen gegen diese Bedrohung zu ergreifen. Sobald die entsprechenden Patches verfügbar sind, ist es wichtig, dass alle HTTP/2-Dienstanbieter ihre Systeme aktualisieren und Abwehrmaßnahmen implementieren.

Sunny

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.