米Cloudflareは、GoogleおよびAmazon Web Servicesとともに、「HTTP/2 Rapid Reset」攻撃と名付けられたゼロデイ脆弱性が存在することを、10月10日に発表した。
HTTP/2 Rapid Resetは、HTTP/2プロトコルの弱点を悪用して巨大で超ボリューメトリックな分散サービス妨害(DDoS)攻撃を発生させる攻撃手法であり、Cloudflareによれば同手法による攻撃の中には、1秒間に2億100万リクエスト(rps)を超える、同社がこれまでに観測した中でも最大の攻撃と比較して3倍に達するほどの攻撃も含まれていたという。
同攻撃は、Standard HTTP/2プロトコルにおけるStreamキャンセル機能を利用して、リクエストを送信して即座にキャンセルすることを何度も繰り返すパターンを自動化することで、サービス拒否を発生させて、HTTP/2の実装を実行しているサーバやアプリケーションを停止させられる。さらに、Cloudflareが観測した攻撃では、約20000台のマシンで構成される、比較的小規模なボットネットによって引き起こされていたことも明らかになっており、脅威度の高さがうかがえる。
Cloudflareは、HTTP/2 Rapid Resetへの対策を直ちに実施するよう訴えており、具体的な対策方法としてDDoS攻撃対策アプリケーション(レイヤー7)、およびWebアプリケーションファイアウォールの確保や、DNS、ネットワークTraffic(レイヤー3)、APIファイアウォールに対する完全なDDoS攻撃対策の実施を提案するとともに、最終手段としてHTTP/2とHTTP/3をオフにすることも検討するよう求めている。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
