【訳】
新たな「HTTP/2 Rapid Reset」ゼロデイ攻撃がDDoS記録を更新
【図表】
リクエスト・ストリーム図(Cloudflare)
HTTP/2 ラピッドリセットロジックの概要(Google)
2023年9月にアマゾンが軽減した攻撃(AWS)
出典: https://www.bleepingcomputer.com/news/security/new-http-2-rapid-reset-zero-day-attack-breaks-ddos-records/
【要約】
新たなDDoS(分散型サービス拒否)テクニック「HTTP/2 Rapid Reset」が8月からゼロデイ攻撃として使用され、Amazon Web Services、Cloudflare、Googleがその規模に対処しました。攻撃は1秒あたり1億5500万リクエスト(Amazon)、2億100万rps(Cloudflare)、3億9800万rps(Google)に達し、規模は前例のないものでした。この攻撃は、HTTP/2プロトコルの弱点を悪用しており、HTTP/2のストリームキャンセル機能を利用してリクエストを継続的に送信・キャンセルし、サーバーをDoS状態に追い込みます。各プロバイダーは対策を講じましたが、攻撃は継続しており、HTTP-flood保護ツールの利用と緩和策の強化が必要です。ゼロデイ攻撃を公にすることで、セキュリティベンダーや関係者に対処する時間を確保する機会が提供されました。
【ニュース】
◆New 'HTTP/2 Rapid Reset' zero-day attack breaks DDoS records (BleepingComputer, 2023/10/10 10:12)
[新たな「HTTP/2 Rapid Reset」ゼロデイ攻撃がDDoS記録を更新]
https://www.bleepingcomputer.com/news/security/new-http-2-rapid-reset-zero-day-attack-breaks-ddos-records/