جزئیاتی از آسیب‌پذیری که برای حملات داس استفاده می‌شود

حملات DDoS امروزه از بزرگ‌ترین تهدیدهایی است که سایت‌ها و کسب‌وکارهای اینترنتی با آن مواجه‌اند و تجارت‌شان را به خطر می‌اندازد، به گونه‌ای که اخیرا آسیب‌پذیری جدیدی در پروتکل HTTP/2 کشف شد که توسط مهاجمان برای انجام حملات با حجم بالا استفاده می‌شد.

‌به گزارش ایسنا، حملات DDos یکی از خطرناک‌ترین حملاتی است که در بستر اینترنت انجام می‌شود. در واقع  DDoS  مخفف عبارت Distributed Denial of Service است و هدف از این حملات خراب کردن سرویس مورد نظر نیست، بلکه شبکه و سرور مورد نظر را وادار به ناتوانی در ارائه سرویس عادی با هدف قرار دادن پهنای باند شبکه یا اتصال پذیری می‌کند.

این حملات با ارسال بسته‌های داده به قربانی انجام می‌شود که شبکه یا ظرفیت پردازشی قربانی را غرق در بسته‌های اطلاعاتی می‌کند و مانع دستیابی کاربران و مشتریان به سرویس می‌شود. به صورت کلی زمانی یک حمله دیداس به سایت اتفاق می افتد که دسترسی به یک رایانه یا منبع شبکه عمداً در نتیجه کار مخرب به کاربر دیگری مسدود یا کاهش داده شود. در این راستا در اواخر ماه آگوست ۲۰۲۳ (شهریور ماه)، آسیب‌پذیری جدیدی در پروتکل HTTP/2 کشف شد که توسط مهاجمان برای انجام حملات DDoS با حجم بالا استفاده می‌شد.

درباره جزئیات این آسیب‌پذیری که با شناسه CVE-2023-44487 و نام Rapid Reset شناخته می‌شود، باعث مصرف منابع و افزایش بار پردازشی سرورهای HTTP/2 شده و ممکن است سرویس‌دهی آن‌ها را مختل کند. آسیب‌پذیری مذکور تا اوایل ماه اکتبر ۲۰۲۳(مهر ماه) در وضعیت روز صفر بوده و هنوز راه‌حل کاملی برای آن ارائه نشده است. 

همچنین این آسیب‌پذیری که حمله DDoS را به دنبال دارد  به دلیل وجود یک نقص در پیاده‌سازی پروتکل HTTP/2، به وجود آمده است. مهاجم تعداد زیادی درخواست HTTP با استفاده از فریم HEADERS ارسال می‌کند سپس با استفاده از فریم RST_STREAM، اتصال را قطع می‌کند. این الگو را به صورت تکراری و با سرعت بالا اجرا کرده تا حجم زیادی از ترافیک را به سمت سرورهای HTTP/2 هدایت کند.

با قرار دادن چندین فریم HEADERS و RST_STREAM در یک اتصال، مهاجم می‌تواند باعث افزایش تعداد قابل توجهی درخواست در ثانیه و استفاده بالای CPU در سرورها شود که در نهایت منجر به درگیر کردن منابع می‌گردد. با توجه به اینکه هدف حملات DDoS، عمدتاً لایه ۷ شبکه است، بسیاری از شرکت‌های بزرگ فناوری اطلاعات، لایه ۷ خود را مورد حفاظت قرار داده و به‌روزرسانی‌های امنیتی منتشر کرده‌اند تا مشتریان خود را در برابر تأثیرات این حملات محافظت کنند.  

در حال حاضر، بهترین روش جهت جلوگیری از این حملات، استفاده از وصله‌های امنیتی موجود و تغییرات پیکربندی و سایر روش‌های کاهش آسیب‌پذیری است که در ادامه به برخی از آن‌ها اشاره شده است؛ به طور مثال کارشناسان مرکز مدیریت امداد و رخدادهای رایانه ای (ماهر) توصیه می‌کنند حتما اطمینان حاصل کنید که ابزارها و سرویس‌هایی امنیتی، جهت محافظت، شناسایی و پاسخ‌گویی به این حمله در سطح سرور و شبکه فعال باشند.

آنها همچنین توصیه می‌کنند از سرویس‌های محافظت از حملات DDoS (لایه 7) استفاده کرده و حدالامکان از WAF استفاده شود. همچنین از سرویس‌های محافظت از حملات DDoS برای DNS، ترافیک شبکه (لایه 3) و فایروال API استفاده گردد.  علاوه بر موارد گفته شده بهتر است کاربران مطمئن شوند که سرویس‌های محافظت از حملات DDoS شما خارج از مرکز داده‌تان قرار دارد زیرا اگر ترافیک به مرکز داده شما برسد، کاهش مخاطره این حملات دشوار خواهد بود.

یافته‌های تحقیقاتی نشان می‌دهند کاربران بهتر است اطمینان حاصل کنند که وصله‌های منتشر شده برای وب‌سرور و سیستم‌عامل در همه سرورها و به‌روزرسانی‌ها اعمال شود. به عنوان آخرین مورد، توصیه می‌شود جهت کاهش مخاطرات احتمالی،  HTTP/2  و  HTTP/3 که در حال حاضر مورد استفاده بوده و احتمالاً آسیب‌پذیر است را به صورت موقت غیرفعال کنید. البته باید توجه داشت که اگر خواهان Downgrade نسخه‌ها به HTTP/1 باشید، ممکن است مشکلات عملکردی قابل توجهی را پیش رو داشته باشید، لذا این مورد توصیه نمی‌شود. گفتنی است استفاده از یک cloud-based DDoS L7 منیز هم می تواند مفید واقع شود.