o (개요)
-23년 8월 중순부터 Cloudflare, Google 및 Amazon AWS 등 HTTP/2 Rapid Reset 취약점을 이용한 디도스공격 발생
- ‘23.10.11. 대규모 디도스 공격에 악용될 수 있는 제로데이 취약점 공격을 대중에 공개 (CVE-2023-44487)
o (위협 특징)
- HTTP/2 구조적 문제
- HTTP/2 멀티플렉싱 방식은 통신에 효율적이나, DoS 공격에 취약하다는 단점이 있음
- 이를 보안하기 위해서 Max Concurrent Streams 값을 정의하고 특정 값(디폴트 100) 이상의 스트림이 오면 서버는 RST_STREAM 프레임을 보내고 요청을 거절(reject)함
- 문제는 스트림 요청 후 바로 RST_STREAM 을 요청하면 Max Concurrent Streams 값 이상의 스트림을 보낼 수 있는 취약점 존재
o (대응)
- HTTP/2 Rapid Reset 공격 발생 시 웹서버 502, 506 에러가 발생하기 때문에 에러 로그 모니터링이 필요
- HTTP/2 프로토콜을 이용하기 때문에 수프핑된 IP 사용이 불가. 실제 Real IP가 필요하며 보통 봇넷이나 프록시 IP가 사용됨
- 공격 발생 시 봇넷 디도스 공격 IP 기준으로 차단 필요
- DDoS 공격 발생시 금융보안원 비상대응센터를 통해 대응 가능
'보안동향' 카테고리의 다른 글
| CVE-2024-2193 GhostRace 취약점 (0) | 2024.04.01 |
|---|---|
| 큐싱(Qshing) - QRcode Pishing (1) | 2023.10.16 |
| 웜GPT, 사기GPT (0) | 2023.07.28 |
| 중국산 장비에 악성코드 설치되어 납품? (0) | 2023.07.20 |
| 2023-02-24 가비아 DNS서버 DDoS 장애 (0) | 2023.03.02 |
