حملات DDoS امروزه از بزرگترین تهدیدهایی است که سایتها و کسبوکارهای اینترنتی با آن مواجهاند و تجارتشان را به خطر میاندازد، به گونهای که اخیرا آسیبپذیری جدیدی در پروتکل HTTP/2 کشف شد که توسط مهاجمان برای انجام حملات با حجم بالا استفاده میشد.
حملات DDos یکی از خطرناکترین حملاتی است که در بستر اینترنت انجام میشود. در واقع DDoS مخفف عبارت Distributed Denial of Service است و هدف از این حملات خراب کردن سرویس مورد نظر نیست، بلکه شبکه و سرور مورد نظر را وادار به ناتوانی در ارائه سرویس عادی با هدف قرار دادن پهنای باند شبکه یا اتصال پذیری میکند.
این حملات با ارسال بستههای داده به قربانی انجام میشود که شبکه یا ظرفیت پردازشی قربانی را غرق در بستههای اطلاعاتی میکند و مانع دستیابی کاربران و مشتریان به سرویس میشود. به صورت کلی زمانی یک حمله دیداس به سایت اتفاق می افتد که دسترسی به یک رایانه یا منبع شبکه عمداً در نتیجه کار مخرب به کاربر دیگری مسدود یا کاهش داده شود. در این راستا در اواخر ماه آگوست ۲۰۲۳ (شهریور ماه)، آسیبپذیری جدیدی در پروتکل HTTP/2 کشف شد که توسط مهاجمان برای انجام حملات DDoS با حجم بالا استفاده میشد.
درباره جزئیات این آسیبپذیری که با شناسه CVE-2023-44487 و نام Rapid Reset شناخته میشود، باعث مصرف منابع و افزایش بار پردازشی سرورهای HTTP/2 شده و ممکن است سرویسدهی آنها را مختل کند. آسیبپذیری مذکور تا اوایل ماه اکتبر ۲۰۲۳(مهر ماه) در وضعیت روز صفر بوده و هنوز راهحل کاملی برای آن ارائه نشده است.
همچنین این آسیبپذیری که حمله DDoS را به دنبال دارد به دلیل وجود یک نقص در پیادهسازی پروتکل HTTP/2، به وجود آمده است. مهاجم تعداد زیادی درخواست HTTP با استفاده از فریم HEADERS ارسال میکند سپس با استفاده از فریم RST_STREAM، اتصال را قطع میکند. این الگو را به صورت تکراری و با سرعت بالا اجرا کرده تا حجم زیادی از ترافیک را به سمت سرورهای HTTP/2 هدایت کند.
با قرار دادن چندین فریم HEADERS و RST_STREAM در یک اتصال، مهاجم میتواند باعث افزایش تعداد قابل توجهی درخواست در ثانیه و استفاده بالای CPU در سرورها شود که در نهایت منجر به درگیر کردن منابع میگردد. با توجه به اینکه هدف حملات DDoS، عمدتاً لایه ۷ شبکه است، بسیاری از شرکتهای بزرگ فناوری اطلاعات، لایه ۷ خود را مورد حفاظت قرار داده و بهروزرسانیهای امنیتی منتشر کردهاند تا مشتریان خود را در برابر تأثیرات این حملات محافظت کنند.
در حال حاضر، بهترین روش جهت جلوگیری از این حملات، استفاده از وصلههای امنیتی موجود و تغییرات پیکربندی و سایر روشهای کاهش آسیبپذیری است که در ادامه به برخی از آنها اشاره شده است؛ به طور مثال کارشناسان مرکز مدیریت امداد و رخدادهای رایانه ای (ماهر) توصیه میکنند حتما اطمینان حاصل کنید که ابزارها و سرویسهایی امنیتی، جهت محافظت، شناسایی و پاسخگویی به این حمله در سطح سرور و شبکه فعال باشند.
آنها همچنین توصیه میکنند از سرویسهای محافظت از حملات DDoS (لایه 7) استفاده کرده و حدالامکان از WAF استفاده شود. همچنین از سرویسهای محافظت از حملات DDoS برای DNS، ترافیک شبکه (لایه 3) و فایروال API استفاده گردد. علاوه بر موارد گفته شده بهتر است کاربران مطمئن شوند که سرویسهای محافظت از حملات DDoS شما خارج از مرکز دادهتان قرار دارد زیرا اگر ترافیک به مرکز داده شما برسد، کاهش مخاطره این حملات دشوار خواهد بود.
یافتههای تحقیقاتی نشان میدهند کاربران بهتر است اطمینان حاصل کنند که وصلههای منتشر شده برای وبسرور و سیستمعامل در همه سرورها و بهروزرسانیها اعمال شود. به عنوان آخرین مورد، توصیه میشود جهت کاهش مخاطرات احتمالی، HTTP/2 و HTTP/3 که در حال حاضر مورد استفاده بوده و احتمالاً آسیبپذیر است را به صورت موقت غیرفعال کنید. البته باید توجه داشت که اگر خواهان Downgrade نسخهها به HTTP/1 باشید، ممکن است مشکلات عملکردی قابل توجهی را پیش رو داشته باشید، لذا این مورد توصیه نمیشود. گفتنی است استفاده از یک cloud-based DDoS L7 منیز هم می تواند مفید واقع شود.