-
米Google、米Cloudflare、米Amazonは10月10日(現地時間)、新たに発見された「HTTP/2」プロトコルに関連する脆弱性により、8月に最大規模のDDoS(分散型サービス妨害)攻撃を検知していたと発表した。
「CVE-2023-44487」を悪用するこの攻撃は「HTTP/2 Rapid Reset Attack」と名付けられた。攻撃者は特定されていない。
Googleによると、同社が8月に受けた攻撃は1秒当たり3億9800万件のリクエストを受信するというもので、これまでの記録の8倍以上の規模だったという。これは「Wikipediaへの1日分のリクエストを10秒で受信する」規模だとしている。
Googleは自社の負荷分散インフラにより、この攻撃のほとんどをネットワークのエッジで阻止したため、機能停止にはならなかったと説明した。
HTTP/2は、Googleのアプリケーションレイヤープロトコル「SPDY」をベースとするプロトコルで、複雑なWebサイトでもWebブラウザが画像やテキストを高速に表示できるようリクエストを行えるようにする。HTTP/1.1ではリクエストは1つずつ処理するが、HTTP/2は単一の接続で複数のストリームを同時に処理できる。
現在、Webアプリの約60%がHTTP/2を採用しているという。
新たな攻撃は、何十万ものリクエストを作成し、すぐにキャンセルすることで機能するとCloudflareは説明した。リクエスト/キャンセルのパターンを大規模に自動化することでWebサイトを停止に追い込む。
3社は、HTTP/2を採用するプロバイダーに対し、可能な限り早くセキュリティパッチを適用するよう呼びかけた。
クライアントによるこの攻撃への最善策は、利用可能なすべてのHTTPフラッド保護ツールを使用し、多面的な緩和策でDDoS耐性を強化することだとしている。
Cloudflareは、8月の攻撃について今報告するのは、「可能な限り多数のセキュリティベンダーに対応の機会を与えるため、情報を制限してきた」と説明した。
(続きは↓でお読みください)
ITmedia
2023年10月11日 06時48分
https://www.itmedia.co.jp/news/articles/2310/11/news082.html -
ま●こ様
-
5チャンもこれやられとるのか
-
5ちゃんもパッチ当てれば軽くなるの?
-
>>4
ラクダのパッチな -
2ちゃんも昔はこういうのに詳しいやつ多かったけど最近は減ったよな
-
>>5
在野のマニアや野生の専門家はXに行っちゃったね
5chじゃなくても詳しい人間に噛みつきたがる傾向が強くなったから仕方がない -
>>5
スマホが普及してからインターネッツはゴミしかなくなった -
>>5
昔は知識ないとパソコン使えなかったからね
今は別にそんなことはないから -
>>11
それだと知識持った人の絶対数は確保される -
5chは便乗して有料化進めてるだけ
-
銀行のシステム不具合もこれのせいだったりするの?
-
昨日全然つながらなかったのはこの攻撃くらってたせいなのか
-
仕事終わって帰宅して「さあ、2ちゃんするぞ」て意気込んでパソコンの電源入れてたな
-
どうせあの国の仕業だろ
-
>>14
どの国か知らんけど国名も出せないほどビビってるの? -
>>14
C?R?NK ?どれ? -
最近のここもその一環だったのかい
-
細けえことはいいから、さっさと直せ
-
>現在、Webアプリの約60%がHTTP/2を採用しているという。
HTTP/3とか言うものを採用すれば安心なのか?
-
またアルカニダなんか?
-
ボケ老人のうちの母がスマホ使ってる時代、よく訳わからんアプリ入ってるしそら踏み台にされるわなと感じる。
-
Pythonだろ
-
AIに学習させてさっさと反撃しろよ
-
なんか今日はスクリプトも来ないしスレも軽いな
-
従量課金制について気になって調べてみたんやが
400万のDDoSを24時間受け続けても耐えるサーバーの維持費は月13~15万らしい
逆にDDoS仕掛ける側が同じ被害を与えるのに掛かる額は月3~4.5万(代行業者にもよる)攻撃側有利すぎないかこれ
-
Googleスゲーわ
-
Google好調だけどGo言語は今ひとつだよな
-
cloudfairごとだしいつものスクリプトあらしとは別次元の模様
コメント