In den letzten Jahren hat das DDoS-Response-Team von Google den Trend beobachtet, dass verteilte Denial-of-Service (DDoS)-Angriffe exponentiell an Größe zunehmen. Im letzten Jahr blockierten wir den damals größten verzeichneten DDoS-Angriff. Im August dieses Jahres stoppten wir einen noch größeren DDoS-Angriff – 7½ Mal größer -, der auch neue Techniken einsetzte, um Websites und Internetdienste zu stören.

Diese neue Serie von DDoS-Angriffen erreichte einen Höhepunkt von 398 Millionen Anfragen pro Sekunde (rps) und nutzte eine neuartige HTTP/2-Technik namens „Rapid Reset“, die auf Stream-Multiplexing basiert und mehrere Unternehmen der Internetinfrastruktur beeinflusst hat. Im Vergleich dazu erreichte der größte verzeichnete DDoS-Angriff des letzten Jahres einen Höchstwert von 46 Millionen rps.

Um das Ausmaß zu verdeutlichen: Dieser zwei Minuten dauernde Angriff generierte mehr Anfragen als die Gesamtzahl der Artikelaufrufe, die Wikipedia im gesamten Monat September 2023 gemeldet hat.

Die jüngste Angriffswelle begann Ende August und dauert bis heute an, wobei Hauptzielobjekte Infrastrukturanbieter einschließlich Google-Diensten, Google Cloud-Infrastruktur und unserer Kunden sind. Obwohl diese Angriffe zu den größten gehören, die Google je gesehen hat, konnten unsere globale Lastenausgleichs- und DDoS-Abwehrinfrastruktur dazu beitragen, unsere Dienste am Laufen zu halten. Um Google, unsere Kunden und den Rest des Internets zu schützen, haben wir eine koordinierte Anstrengung mit Branchenpartnern unternommen, um die Angriffsmechanik zu verstehen und Abwehrmaßnahmen zu entwickeln, die auf diese Angriffe reagieren können.

Im Allgemeinen versuchen DDoS-Angriffe, Internetseiten und -dienste unzugänglich zu machen, indem sie überwältigende Mengen an Internetverkehr auf Ziele lenken, was deren Fähigkeit zur Verarbeitung eingehender Anfragen erschöpfen kann.

DDoS-Angriffe können weitreichende Auswirkungen auf betroffene Organisationen haben, darunter Geschäftseinbußen und die Nichtverfügbarkeit von geschäftskritischen Anwendungen, was Opfern oft Zeit und Geld kostet. Die Erholungszeit von DDoS-Angriffen kann weit über das Ende eines Angriffs hinausgehen.

Unsere Untersuchung und Reaktion Unsere Untersuchung ergab, dass der Angriff eine neuartige „Rapid Reset“-Technik verwendete, die Stream-Multiplexing, eine Funktion des weit verbreiteten HTTP/2-Protokolls, nutzt. Wir bieten weitere Analysen dieser neuen Rapid-Reset-Technik und diskutieren die Entwicklung von Layer-7-Angriffen in einem begleitenden Blog.

Wir konnten den Angriff am Rand des Google-Netzwerks abwehren, indem wir in unsere erheblichen Investitionen in Edge-Kapazitäten investierten, um sicherzustellen, dass unsere Dienste und die Dienste unserer Kunden weitgehend unberührt blieben. Als wir mehr Details über die Angriffsmethodik verstanden, entwickelten wir Abwehrmaßnahmen und aktualisierten unsere Proxies und Abwehrsysteme gegen Denial-of-Service, um diese Technik effizient abzuwehren. Da Google Clouds Application Load Balancer und Cloud Armor dieselbe Hardware- und Softwareinfrastruktur verwenden, auf die Google vertraut, um seine eigenen internetbasierten Dienste bereitzustellen, sind die Kunden von Cloud, die diese Dienste verwenden, ebenfalls vor Internet-basierten Webanwendungen und Diensten geschützt.

Branchenkoordination und Reaktion auf CVE-2023-44487 Kurz nach der Erkennung der frühesten dieser Angriffe im August wandte Google zusätzliche Abwehrstrategien an und koordinierte eine branchenübergreifende Reaktion mit anderen Cloud-Anbietern und Softwarebetreuern, die den HTTP/2-Protokollstapel implementieren. Wir haben Informationen über den Angriff und die Abwehrmethoden in Echtzeit geteilt, während die Angriffe im Gange waren.

Diese branchenübergreifende Zusammenarbeit führte zu Patches und anderen Abwehrtechniken, die von vielen großen Infrastrukturanbietern verwendet werden. Die Zusammenarbeit half, den Weg für die heute koordinierte verantwortungsvolle Offenlegung der neuen Angriffsmethodik und deren potenzielle Anfälligkeit bei einer Vielzahl von gängigen Open-Source- und kommerziellen Proxies, Anwendungsservern und Lastenausgleichern zu ebnen.

Die kollektive Anfälligkeit für diesen Angriff wird als CVE-2023-44487 verfolgt und wurde als Schwachstelle mit hoher Schwere mit einer CVSS-Bewertung von 7,5 (von 10) eingestuft.

Google drückt allen branchenübergreifenden Stakeholdern aufrichtigen Dank aus, die zusammengearbeitet, Informationen geteilt, die Patching ihrer Infrastruktur beschleunigt und Patches schnell für ihre Kunden verfügbar gemacht haben.

Wer ist gefährdet und was ist zu tun? Jedes Unternehmen oder jede Einzelperson, das/die eine HTTP-basierte Arbeitslast ins Internet stellt, kann von diesem Angriff gefährdet sein. Webanwendungen, Dienste und APIs auf einem Server oder Proxy, die das HTTP/2-Protokoll verwenden können, könnten verwundbar sein. Organisationen sollten überprüfen, ob die von ihnen betriebenen Server, die das HTTP/2 unterstützen, nicht gefährdet sind, oder Vendor-Patches für CVE-2023-44487 anwenden, um die Auswirkungen dieses Angriffsvektors zu begrenzen. Wenn Sie Ihren eigenen HTTP/2-fähigen Server (Open Source oder kommerziell) verwalten oder betreiben, sollten Sie sofort einen Patch vom entsprechenden Anbieter anwenden, wenn dieser verfügbar ist.

Nächste Schritte Sich gegen massive DDoS-Angriffe wie die hier beschriebenen zu verteidigen, ist schwierig. Organisationen müssten, mit oder ohne Patches, erhebliche Infrastrukturinvestitionen tätigen, um Dienste in Anbetracht von Angriffen von mittlerer Größe und größer am Laufen zu halten. Anstelle dieser Kosten selbst zu tragen, können Organisationen, die Dienste in Google Cloud ausführen, von unserer Investition in Kapazitäten im globalen Maßstab in unserem Cross-Cloud Network profitieren, um ihre Anwendungen bereitzustellen und zu schützen.

Google Cloud-Kunden, die ihre Dienste mit dem globalen oder regionalen Application Load Balancer aussetzen, profitieren von der Cloud Armor Always-On DDoS-Abwehr, bei der Angriffe, die Schwachstellen wie CVE-2023-44487 ausnutzen, schnell abgewehrt werden.

Obwohl wir mit Cloud Armor Always-On DDoS-Abwehr die meisten Hunderte von Millionen Anfragen pro Sekunde am Rand des Google-Netzwerks effizient absorbieren können, können Millionen unerwünschter Anfragen pro Sekunde immer noch durchkommen. Um sich vor solchen und anderen Layer-7-Angriffen zu schützen, empfehlen wir außerdem die Bereitstellung von Cloud Armor Custom Security Policies mit proaktiven Rate-Limiting-Regeln und KI-gesteuerter Adaptive Protection, um Angriffsverkehr umfassender zu erkennen, zu analysieren und abzuwehren.

Weitere technische Informationen zu dieser aktuellen Welle von DDoS-Angriffen finden Sie hier, und Sie können mehr über die DDoS-Abwehr von Google Cloud Armor hier erfahren.