.
Aurich Lawson/Getty
Em Agosto e Setembro, os agentes de ameaças desencadearam os maiores ataques distribuídos de negação de serviço da história da Internet, explorando uma vulnerabilidade até então desconhecida num protocolo técnico fundamental. Ao contrário de outros zerodays de alta gravidade nos últimos anos – Heartbleed ou log4j, por exemplo – que causaram o caos devido a uma torrente de explorações indiscriminadas, os ataques mais recentes, apelidados de HTTP/2 Rapid Reset, foram quase imperceptíveis para todos, exceto para alguns engenheiros selecionados.
HTTP2/Rapid Reset é uma nova técnica para travar DDoS, ou ataques distribuídos de negação de serviço, de uma magnitude sem precedentes. Ele só foi descoberto depois de já estar sendo explorado para entregar DDoSes recordes. Um ataque a um cliente usando a rede de entrega de conteúdo da Cloudflare atingiu o pico de 201 milhões de solicitações por segundo, quase o triplo do recorde anterior que a Cloudflare havia visto de 71 milhões de rps. Um ataque a um site usando a infraestrutura em nuvem do Google atingiu 398 milhões de rps, mais de 7,5 vezes maior que o recorde anterior registrado pelo Google de 46 milhões de rps.
Fazendo mais com menos
Os DDoSes que atingiram a Cloudflare vieram de uma rede de cerca de 20 mil máquinas maliciosas, um número relativamente pequeno comparado com muitas das chamadas botnets. O ataque foi ainda mais impressionante porque, diferentemente de muitos DDoSes direcionados a clientes da Cloudflare, este resultou em erros intermitentes 4xx e 5xx quando usuários legítimos tentaram se conectar a alguns sites.
“A Cloudflare detecta regularmente botnets que são ordens de magnitude maiores do que isso – compreendendo centenas de milhares e até milhões de máquinas”, escreveu o diretor de segurança da Cloudflare, Grant Bourzikas. “O fato de uma botnet relativamente pequena gerar um volume tão grande de solicitações, com o potencial de incapacitar praticamente qualquer servidor ou aplicativo que suporte HTTP/2, ressalta o quão ameaçadora essa vulnerabilidade é para redes desprotegidas.”
A vulnerabilidade explorada pelo HTTP/2 Rapid Reset reside no HTTP/2, que entrou em vigor em 2015 e passou por várias revisões desde então. Comparado aos protocolos HTTP/1 e HTTP/1.1 anteriores, o HTTP/2 fornecia a capacidade de uma única solicitação HTTP transportar 100 ou mais “streams” que um servidor pode receber de uma só vez. A taxa de transferência resultante pode levar a uma utilização quase 100 vezes maior de cada conexão, em comparação com os protocolos HTTP anteriores.
O aumento da eficiência não foi útil apenas para distribuição de vídeo, áudio e outros tipos de conteúdo benigno. Os DDoSers começaram a aproveitar o HTTP/2 para realizar ataques muito maiores. Existem duas propriedades no protocolo que permitem esses novos DDoSes eficientes. Antes de discuti-los, é útil revisar como os ataques DDoS funcionam em geral e depois passar para a forma como os protocolos HTTP anteriores à versão 2.0 funcionavam.
Existem vários tipos de ataques DDoS. As formas mais conhecidas são os ataques volumétricos e de protocolo de rede. Os ataques volumétricos enchem as conexões de entrada de um site alvo com mais bits do que a conexão pode transportar. Isso é semelhante a direcionar mais veículos para uma rodovia do que ela pode acomodar. Eventualmente, o trânsito para. No ano passado, o maior DDoS volumétrico registrado foi de 3,47 terabits por segundo.
Os DDoSes de protocolo de rede funcionam para sobrecarregar roteadores e outros dispositivos encontrados nas camadas 3 e 4 da pilha de rede. Como funcionam nessas camadas de rede, são medidos em pacotes por segundo. Um dos maiores ataques de protocolo foi bloqueado pela empresa de segurança Imperva, que atingiu o pico de 500 milhões de pacotes por segundo.
O tipo de ataque realizado pelo HTTP/2 Rapid Reset se enquadra em uma terceira forma de DDoS conhecida como ataques à camada de aplicativo. Em vez de tentar sobrecarregar a conexão de entrada (volumétrica) ou esgotar a infraestrutura de roteamento (protocolo de rede), os DDOS em nível de aplicativo tentam esgotar os recursos computacionais disponíveis na camada 7 da infraestrutura de um alvo. Inundações em aplicativos de servidor para voz HTTP, HTTPS e SIP estão entre os meios mais comuns para esgotar os recursos computacionais de um alvo.
.
