In de maanden augustus en september namen DDoS-aanvallen nooit eerder geziene proporties aan, waarschuwen Google, Cloudflare, AWS en Microsoft.
De vier internetreuzen Google, Cloudflare, AWS en Microsoft hebben de voorbije maanden moeten ingrijpen bij DDoS-aanvallen op hun klanten. DDoS-aanvallen zijn dagelijkse kost voor deze bedrijven, maar deze keer spreken ze over de grootste aanvallen die ze ooit al zagen. AWS rapporteert een piek van 155 miljoen verzoeken per seconde, Cloudflare 201 miljoen. ‘Recordhouder’ is Google met aanvallen die op hun piek maar liefst 398 miljoen aantikten.
lees ook
DDoS-aanvallen: waar komen ze vandaan en hoe kan je ze stoppen?
Snelle reset
Al die recente aanvallen maakten gebruik van een achilleshiel in het HTTP/2-protocol, omgedoopt tot Rapid Reset. In een blog geeft Google de uitgebreide technische uitleg, al is het achterliggende principe eigenlijk heel eenvoudig: de aanvallers verzendt een verzoek naar de hostingservers en annuleert dat verzoek onmiddellijk. Door dit op grote schaal en geautomatiseerd verzeilen de servers in een eindeloze stroom van ‘verzoek, annulering, verzoek, annulering’ tot ze uiteindelijk overbelast zijn.
Testen in de praktijk
Volgens Cloudflare is het niet toevallig dat er veel aanvallen van deze omvang op korte tijd plaatsvinden bij de grote internetbedrijven. Kwaadwilligen die nieuwe technieken ontdekken, hebben het extreem moeilijk om hun effectiviteit te testen en te begrijpen, vanwege het gebrek aan infrastructuur om de aanvallen op te vangen. Daarom testen ze vaak tegen providers om beter te begrijpen hoe hun aanvallen zullen presteren.
Google, Cloudflare, Microsoft en AWS zeggen allen dat ze de aanvallen succesvol hebben weten afweren zonder dat hun klanten daar veel van gemerkt hebben. Toch benadrukken ze de ernst van de Rapid Reset-kwetsbaarheid. HTTP/2 is de basis voor ongeveer zestig procent van alle webapplicaties die niet allemaal op een stevige buffer kunnen terugvallen. De kwetsbaarheid heeft wel enkel betrekking op HTTP/2 en niet op het nieuwe protocol HTTP/3.