Comment ça marche : la nouvelle attaque DDoS « Rapid Reset » HTTP/2

Les attaques DDoS basées sur HTTP/2 ont augmenté, dépassant les précédentes attaques de couche 7. L'infrastructure d'équilibrage de charge mondiale de Google a efficacement atténué ces attaques à la périphérie du réseau, empêchant les pannes. Les attaques exploitent les fonctionnalités HTTP/2 telles que le multiplexage de flux et la réinitialisation rapide pour obtenir des taux de demandes élevés. L'attaque de réinitialisation rapide HTTP/2 repose sur le fait que les clients annulent les demandes immédiatement après les avoir envoyées, ce qui permet un nombre indéfini de demandes en cours et crée une asymétrie de coût entre le serveur et le client. Les variantes d'attaque incluent l'annulation retardée et le dépassement des limites de flux. Les mesures d'atténuation impliquent la fermeture des connexions lorsque des abus sont détectés à l'aide de trames GOAWAY et le suivi des statistiques de connexion. Les serveurs HTTP/2 doivent fermer les connexions dépassant les limites de flux pour atténuer les variantes sans annulation. Il est peu probable que ces méthodes d'attaque se traduisent directement en HTTP/3 en raison de différences de protocole. Google s'est coordonné avec des partenaires de l'industrie pour traiter la vulnérabilité HTTP/2 via un processus de divulgation coordonnée.