仕組み：HTTP/2「ラピッドリセット」DDoS攻撃

HTTP/2 ベースの DDoS 攻撃が急増し、従来のレイヤー 7 攻撃を上回りました。Google のグローバルな負荷分散インフラストラクチャにより、これらの攻撃がネットワークエッジで効果的に軽減され、停止が防止されました。攻撃者はストリーム多重化や Rapid Reset などの HTTP/2 機能を悪用して、高い要求率を達成します。HTTP/2 の Rapid Reset 攻撃は、クライアントが送信直後にリクエストを取り消し、無限の数のインフライトリクエストを許可し、サーバーとクライアントの間にコストの非対称性を作成することに依存しています。攻撃のバリアントには、遅延によるキャンセルやストリーム制限を超過することが含まれます。軽減策としては、不正使用が検出されたら GOAWAY フレームを使用して接続を閉じ、接続統計を追跡することが含まれます。HTTP/2 サーバーは、ストリーム制限を超過した接続を閉じて、キャンセルされないバリアントを軽減する必要があります。プロトコルの違いにより、これらの攻撃手法が HTTP/3 に直接変換される可能性は低いです。Google は、業界パートナーと協力して、調整された開示プロセスを通じて HTTP/2 の脆弱性に対処しました。