HTTP/2 신속한 재설정 취약점(CVE-2023-44487)에 대한 DDoS 완화

HTTP/2 빠른 재설정 취약점은 2023년 10월 10일에 발표되었습니다.

최근 CDNetworks 보안 플랫폼은 HTTP/2 프로토콜 서비스 거부 취약점을 악용하는 CVE-2023-44487로 알려진 제로데이 취약점을 발견했습니다. 악의적인 공격자는 이 취약점을 악용하여 HTTP/2 서버에 대한 대규모 DDoS 공격을 실행합니다.

공개 데이터에 따르면, 이 취약점을 사용하여 시작된 DDoS 공격 규모는 무려 3억 9,800만 QPS에 이르렀고, 공격 최고치의 글로벌 기록을 몇 배나 늘렸습니다.

HTTP/2 정보

HTTP/2(Hypertext Transfer Protocol 2.0)는 인터넷의 차세대 HTTP 프로토콜입니다. HTTP/2는 다중화 기술을 도입하여 단일 연결을 통해 여러 요청과 응답을 동시에 전송할 수 있으므로 리소스 활용도가 향상됩니다. 또한 헤더 압축 및 서버 푸시와 같은 기능을 지원하여 네트워크 전송 오버헤드를 줄입니다. 또한 HTTP/2는 암호화된 전송을 지원하여 보안을 강화합니다.

취약점 세부정보

기존 HTTP 1.1에서는 브라우저에 동시에 수행할 수 있는 도메인당 요청 수에 대한 특정 제한이 있습니다. 제한을 초과하면 추가 요청이 차단됩니다. HTTP/2에는 스트림 다중화라는 새로운 기능이 도입되었습니다. HEADERS 및 DATA 프레임으로 구성된 스트림이라고 하는 여러 요청은 TCP 연결에서 동시에 전송될 수 있으며 순서가 잘못될 수 있습니다. 이는 각 스트림에 연관된 ID가 있기 때문입니다. 이를 통해 서버는 프레임이 속한 스트림과 응답 방법을 식별할 수 있습니다. 이 기능을 사용하면 성능이 크게 향상됩니다.

그러나 HTTP/2의 이러한 특성은 공격자에 의해 악용될 수도 있어 DDoS 공격을 더욱 효율적으로 만들 수 있습니다.

서버는 각 프레임과 스트림을 처리하기 위해 CPU와 메모리 자원을 소비해야 하기 때문에 동시 스트림 기능을 남용할 경우 서버 자원이 빠르게 고갈될 수 있습니다. 최대 리소스 사용량을 제어하기 위해 서버는 최대 동시 스트림 수에 대한 제한을 설정합니다. 그러나 HTTP/2 프로토콜을 사용하면 클라이언트가 RST_STREAM 프레임을 보내 이전 스트림을 일방적으로 취소할 수 있습니다. 이는 이전 요청에 대한 응답을 중지하도록 서버에 알리고 대역폭 낭비를 방지하는 데 사용됩니다. 이로 인해 다음과 같은 현상이 발생합니다.

클라이언트가 TCP 연결에서 동일한 요청에 대한 요청과 재설정 프레임(RST_STREAM)을 동시에 보내는 경우 서버는 해당 요청을 활성 상태로 간주하지 않으며 동시 스트림 제한에 포함하지 않습니다. 클라이언트는 동일한 TCP 연결에서 많은 수의 스트림을 신속하게 열고 재설정할 수 있지만 서버는 취소된 요청에 대해 여전히 상당한 양의 작업을 수행해야 합니다. 이로 인해 궁극적으로 서버 리소스가 고갈되어 서비스 거부가 발생합니다.

이 방법을 활용함으로써 공격자는 공격 비용이 방어 비용보다 훨씬 낮은 불공평한 이점을 얻습니다.

1. 클라이언트의 최대 동시 요청 수는 더 이상 왕복 시간(RTT)에 의존하지 않고 사용 가능한 네트워크 대역폭에만 의존하므로 클라이언트가 보낼 수 있는 동시 요청 수를 크게 늘릴 수 있습니다.

2. 서버는 RST_STREAM을 수신한 후 이전 요청에 대한 응답을 중단하므로 공격에 필요한 서버 대역폭을 줄입니다.

씨디네트웍스의 대책

CDNetworks는 해당 완화 조치를 구현하여 이 취약점을 해결하기 위한 조치를 즉시 취했습니다. CDNetworks는 전체 플랫폼에서 단일 연결을 통해 전송할 수 있는 최대 HTTP 요청 수를 구성했습니다. 이는 취약점의 영향을 완화하는 데 도움이 되며, 구성을 사용자 정의할 수 있어 고객이 필요에 따라 임계값을 조정할 수 있습니다.

공격자는 이 취약점을 악용하여 대규모 DDoS 공격을 실행할 수 있으므로, 이를 구현하지 않은 고객은 디도스 보호 가능한 한 빨리 해당 보호를 활성화하는 조치를 취하는 것이 좋습니다.

CDNetworks는 향상된 DDoS 보호 기능을 제공하기 위해 웹 애플리케이션 및 API 보호 기능을 즉시 강화하여 고객 비즈니스의 보안과 안정성을 보장합니다. 포괄적인 보호 혜택을 받으려면 즉시 고객 서비스 팀에 연락하여 CDNetworks를 구현하십시오. 웹 애플리케이션 및 API 보호 해결책.

씨디네트웍스의 보안 플랫폼은 지속적으로 HTTP/2 급속 재설정 공격을 시작하는 IP 주소를 실시간으로 분석 및 식별하고 네트워크 계층에서 악성 IP를 차단할 것입니다. 네트워크 계층의 강력한 처리 성능을 활용해 대규모 공격을 효과적으로 처리할 수 있습니다. 이론적으로 이 메커니즘을 사용하면 무제한 보호가 가능합니다.

동시에 우리는 우리의 기술을 사용하여 고객에 대한 공격을 계속 모니터링할 것입니다. 와프 다양한 유형의 보안 사고에 대한 해결책을 찾고 신속하게 개입하여 대응합니다.