В материалах доклада представлены результаты исследования уязвимости протокола HTTP/2 (CVE-2023-44487), изучены и реализованы механизмы реализации DoS и DDos-кибербератак, в частности Rapid Reset Attack, на виртуальном макете, состоящем из веб-сервера и устройства нарушителя. Предложены методы ликвидации уязвимости веб-сервера, поддерживающим соединения по протоколу НТТР/2

Лифанов, К. В.

Рощупкин, Н. А.

Belarusian State University of Informatics and Radioelectronics Repository

УЯЗВИМОСТЬ HTTP/2 RAPID RESETЛифанов К.В., Рощупкин Н.А.Белорусский государственный университет информатики и радиоэлектроники,Минск, Республика БеларусьНаучный руководитель: Белоусова Е.С.- кандидат технических наук, доцент кафедры ЗИАннотация. В материалах доклада представлены результаты исследования уязвимости протокола HTTP/2 (CVE-2023-44487), изучены и реализованы механизмы реализации DoS- и DDos-кибербератак, в частности Rapid Reset Attack, на виртуальном макете, состоящем из веб-сервера и устройства нарушителя. Предложены методы ликвидации уязвимости веб-сервера, поддерживающим соединения по протоколу НТТР/2.Ключевые слова: HTTP/2, CVE-2023-44487, DDoS, Nginx, Rapid Reset Attack202ВведениеНТТР/2 -  протокол, разработанный рабочей группой Hypertext Transfer Protocol working group. В мае 2015 года спецификация НТТР/2 была опубликована как RFC 7540. НТТР/2 был создан для решения проблемы увеличения временной задержки при передаче данных по протоколу НТТР/1. По статистике на данный момент протоколом НТТР/2 пользуются более 50% всех веб-ресурсов. Основными составляющими НТТР/2 стали фреймы (Frames) и потоки (Streams). В НТТР/2 есть функция мультиплексирования: все потоки посылаются в едином TCP соединении. Также в НТТР/2 есть специальный тип фреймов RST_STREAM, позволяющий прерывать определенный поток. Перечисленные функции НТТР/2 позволяет открыть несколько одновременных потоков в одном TCP соединении. Отмена потока реализуется посредством отправки RST_STREAM. Преимуществом такого соединения является то, что от клиента и сервера не требуется согласования отмены, она возможна в одностороннем порядке. Несмотря на преимущества новых функций протокола НТТР/2, у них есть уязвимости, одна из них CVE-2023-44487. Данная уязвимость является актуальной, так как для ее реализации не требуются значительные ресурсы.CVE-2023-44487 -  это уязвимость функции отправки фрейма RST_STREAM и функции мультиплексирования потоков протокола НТТР/2, которая может быть эксплуатирована путем открытия клиентом большого количества потоков одновременно, что приводит к ожиданию ответа от сервера на каждый поток запроса, при этом клиент немедленно отменяет каждый запрос. Таким образом, могут быть совершены DoS или DDoS кибератаки, в том числе Rapid Reset Attack, представленные на рисунке 1.Основная частьДля исследования уязвимости протокола НТТР/2 был создан макет, который включал в себя следующие виртуальные машины:1 Веб-сервер на основе оперативной системе GNU/Linux Ubuntu Server 22.04 (ОЗУ 2 Гбайта, 1 vCPlJ).2 Устройство потенциального нарушителя, с аналогичной ОС и равное по вычислительной мощности с сервером для корректности и наглядности сравнения.Для работы веб-сервера было выбрано одно из самых распространенных ПО Nginx, за счет открытого исходного кода, удобству установки и конфигурации. Для использования протокола НТТР/2 необходима поддержка шифрования TLS посредством SSL-сертификатов, за счет чего осуществляется использование протокола HTTPS. Поэтому на веб-сервере были созданы самоподписанные SSL-сертификаты и произведена соответствующая конфигурация Nginx. Далее в конфигурационном файле веб-сервера в разделе «server» указывается строка «listen 443 ssl http2», которая включает поддержку НТТР/2.Рисунок 1 -  Механизмы реализации DoS и DDoS кибератак с использованием различныхНТТРЛ.1 a tta ck  S tandard  НТТР/2 a tta ck  НТТР/2 R ap id  R e se t  a ttackМатериалы 60-й юбилейной научной конференции аспирантов, магистрантов и студентов, Минск, 2024Для реализации DoS кибератаки использовалась утилита, написанная на языке Go «rapidresetclient», позволяющая реализовать исследуемую кибератаку. Для контроля работы утилиты и просмотра отправляемых пакетов была использована программа «Wireshark», которая позволяет отследить количество, частоту и содержание НТТР-запросов.Учитывая использование протокола HTTPS и его функции шифрования, для просмотра содержания пакетов было необходимо отредактировать исходный код «rapidresetclient» для203сохранения генерируемых ключей шифрования при установлении HTTPS-соединения и дальнейшего использования их для расшифровки пакетов. Как показано на рисунке 2, утилита исправно отправляет GET-запросы и запросы с флагом RST_STREAM поочередно, используя протокол НТТР/2, что и является реализацией Rapid Reset Attack.Материалы 60-й юбилейной научной конференции аспирантов, магистрантов и студентов, Минск, 2024• Frame 42: 45B bytes on wire (3664 bits), 458 bytes captured (3664 bits) on interface enp6s0, id 0• Ethernet II, Src: Giga-Byt e4:dB:ec (e0:d5:5e;e4:d8:ec), Dst: HuaweiDe dd:7b:cd (54:71;dd:dd:7b:cd)• Internet Protocol Version 4 , Src: 192,168.0.187, Dst: 161.35.211.79> Transmission control Protocol, Src Port: 59118, Dst Port: 443, Seq: 2560, Ack: 1637, Len: 392> Transport Layer Security• HyperText Transfer Protocol 2. Stream: HEADERS, Stream ID: 45, Length 18, GET /- HyperText Transfer Protocol 2> Stream: RST STREAM, Stream ID: 45, Length 4• HyperText Transfer Protocol 2• Stream: HEADERS, Stream 10: 47, Length 18, SET /• HyperText Transfer Protocol 2. Stream: RST STREAM, Stream ID: 47, Length 4• HyperText Transfer Protocol 2• Stream: HEADERS, Stream 10: 49, Length 18, GET /• HyperText Transfer Protocol 2> Stream: RST STREAM, Stream ID: 49, Length 4• HyperText Transfer Protocol 2. Stream: HEADERS, Stream 10: 51, Length 18, GET /• HyperText Transfer Protocol 2• Stream: RST_STREAM, Stream ID: 51, Length 4Рисунок 2 -  Результат анализа пакетов с помощью Wireshark в ходе проведенияRapid Reset AttackДля сравнения эффективности кибератак была произведена классическая DoS кибератака на протокол НТТР/1.1 с поддержкой HTTPS. Результаты сравнения двух кибератак представлены в таблице 1. В таблице 1 приводится значение «load average», которое отображает среднюю нагрузку системы, где «О» означает отсутствие нагрузки, «1» - отсутствие запаса производительности для 1-ядерного компьютера, а если значение больше, чем количество ядер процессора, значит система значительно перегружена и процессы ожидают своей очереди на исполнение.Таблица 1 -  Сравнение нагрузки при реализации Rapid Reset Attack и классической НТТР/1.1 кибератаке ______________________ ______________ ________________ _______________ТипкибератакиКол-возапросоввсекундуСтепень нагрузки процессора на сервере, %Значение «load average» на сервереСтепень нагрузки процессора на устройстве нарушителя, %Значение «load average» на устройстве нарушителяНТТР/2 Rapid Reset Attack 8125 85-90 0,95-1,05 0,75-0,8 0,90НТТР/1.1 DoS 234 84-86 0,60-0,65 86-90 44,5-48,0ЗаключениеРезультаты сравнения реализации Rapid Reset Attack и классической DoS кибератаке показали, что с точки зрения требований к вычислительной способности устройства нарушителя, кибератака на НТТР/2 намного эффективнее.На основе изучения механизмов реализации DoS кибератак на веб-сервера, поддерживающие соединение по протоколу НТТР/2, были предложены способы ликвидации уязвимости CVE-2023-44487:1 Ограничение количества открытых соединений и количества одновременно открытых потоков в рамках одного соединения.2 Переход на НТТР/3.3 Своевременное обновление серверного программного обеспечения.Необходимо отметить, что первый способ не применим к сервисам, обрабатывающим большое количество пользователей одновременно. Также существуют коммерческие204решения от Cloudflare и других организаций, предоставляющих услуги в области кибербезопасности.Список использованных источников:1. CVE-2023-44487 [Электронный ресурс]. -  Режим доступа: https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE-2023-44487. -  Дата доступа : 05.02.2024.2. Создание самоподписанного SSL-сертификата для Nginx [Электронный ресурс]. -  Режим доступа: https://www. 8host.com/blog/sozdanie-samopodpisannogo-ssl-sertifikata- dlya-nginx-v-ubuntu-18-04/. -  Дата доступа : 05.02.2024.3. Tool for testing mitigations and exposure to Rapid Reset DDoS [Электронный ресурс]. -  Режим доступа : https://github.com/secengjeff/rapidresetclient. -  Дата доступа : 05.02.2024.4. Best DDoS Attack Script Python3, Attack With 56 Methods [Электронный ресурс]. -  Режим доступа : https://github.com/MatrixTM/MHDDoS. -  Дата доступа : 05.02.2024.Материалы 60-й юбилейной научной конференции аспирантов, магистрантов и студентов, Минск, 2024

Уязвимость HTTP/2 Rapid Reset

https://libeldoc.bsuir.by/bitstream/123456789/56767/1/Lifanov_Uyazvimost.pdf

Уязвимость HTTP/2 Rapid Reset

Abstract

Similar works

Full text

Available Versions

Belarusian State University of Informatics and Radioelectronics Repository