Eine Zero-Day-Schwachstelle im HTTP/2-Protokoll wird seit August von unbekannten Angreifern ausgenutzt. Insbesondere namhafte Online-Dienste stehen hierbei im Fokus.

Dazu zählen etwa Cloudflare, Google, Microsoft und Amazon. Alle vier genannten Unternehmen haben hierzu jeweils eigene Pressemitteilungen veröffentlicht, in der vom größten DDoS-Angriff aller Zeiten gesprochen wird.

Rapid Reset als Methodik

Das Ziel: Mittels Rapid Reset sollen die entsprechenden Server beeinträchtigt oder gar zum Totalausfall gebracht werden - ein Distributed Denial of Service eben.

Die erwähnte Schwachstelle, die von der US-amerikanischen National Vulnerability Database (NIST) unter der Kennung CVE-2023-44487 geführt wird, macht sich einen eigentlichen Vorteil des seit 2021 vorwiegend genutzten HTTP/-Protokolls zunutze.

Denn das neue Protokoll kann mittels Stream-Multiplexing mehrere Anfragen zeitgleich über eine einzige TCP-Verbindung senden; die Anzahl gleichzeitiger Anfragen wird normalerweise serverseitig begrenzt. Durch Stream-Multiplexing soll die Datenübertragung entsprechend effektiver und schneller gestaltet werden.

Eine Schwachstelle im Protokoll ermöglicht aber den Rapid-Reset-Angriff: Der Angreifer schickt hierbei eine extrem große Anzahl an Anfragen ab und bricht diese sofort wieder ab, was bei entsprechend großer Menge zur Serverüberlastung führt.

Direkt dagegen vorgehen können Server indes nicht, schließlich verlangt HTTP/2 keine Koordination zwischen Client und Server; der Abbruch der Anfrage kann also einseitig erfolgen, wie Google erklärt.

Zudem zieht die abgebrochene Clientanfrage selbst ebenfalls Arbeit für den Server nach sich, wozu etwa die Zuweisung neuer Datenstrukturen oder die Headerdekomprimierung zählt.

Der Client hingegen habe ressourcentechnisch nahezu keine oder maximal vernachlässigbare Kosten nach sich. Daraus folge laut Google eine ausnutzbare Kostenasymmetrie zwischen Server und Client .

Die große DDoS-Attacke auf Google, Amazon & Co. in Zahlen

Der bisherige Rekord zeitgleicher Anfragen an die Google-Server lag Unternehmensangaben zufolge bei 46 Millionen pro Sekunde, was bei einem DDoS-Angriff im August 2022 erreicht wurde.

Diese Bestmarke wurde nun gewissermaßen pulverisiert, denn der Angriff auf Google erreichte in der Spitze knapp 400 Millionen Anfragen pro Sekunde (RPS).

Zur Einordnung: Innerhalb von zwei Minuten hat Google so viele Anfragen wie Wikipedia im gesamten Monat September verzeichnet.

Bei Amazon stehen mit 155 Millionen RPS sowie Cloudflare mit 201 Millionen RPS zwar nicht ganz so hohe, aber dennoch exorbitante Zahlen zu Buche. Microsoft selbst hält sich mit genauen Angaben indes bedeckt.

Laut Cloudflare soll die Gruppe der Angreifer vergleichsweise klein sein, hier wird ein Botnetz mit 20.000 Teilnehmern verantwortlich gesehen.

Alle Unternehmen konnten die DDoS-Attacke auf die jeweiligen Cloud-Server immerhin erfolgreich abwehren, sodass für den Endnutzer bestenfalls nur geringfügige Einschränkungen zu spüren waren. Zudem arbeite man intensiv an einer Lösung für die CVE-2023-44487-Schwachstelle.

Deutschland hat übrigens weltweit die höchste Quote an schädlichen Bots.

Jetzt seid ihr gefragt: Habt ihr in den vergangenen Wochen mit Zugriffsproblemen auf die Dienste von Google, Amazon & Co. zu kämpfen gehabt oder lief bei euch alles wie immer? Lasst uns eure Erfahrungen in den Kommentaren da!