Ende August tauchte eine neue Bedrohung für Webserver in Form einer Distributed Denial Of Service (DDOS) Attacke auf: Die Rapid Reset Technik (CVE-2023-44487). Nach einer Analyse von Google, wurde mit einem relativ kleinen Botnet aus die bisher grösste DDOS Angriffswelle auf deren Infrastruktur festgestellt, die es je gab. Ähnliches berichtet auch Cloudflare, dort wurde Ende August ausgehend von einem kleinen Botnet von 20.000 PCs eine DDOS Attacke ausgelöst, die fast 3 mal heftiger war als alles bisher gemessene.
Theoretisch sind 35,6 % aller heutzutage in Betrieb stehenden Webseiten mögliche Angriffsziele. Es lohnt sich daher wahrscheinlich seine Serverkonfiguration zu überprüfen.
Welche Server sind mit Rapid Reset angreifbar?
Betroffen sind eine Vielzahl von HTTP2 fähigen Servern, unter anderem
- Apache2
- Alibaba Tengine
- Caddy
- C – nghttp2
- envoy
- Go x/net/http2
- Haskell HTTP/2 and HPACK
- h2o
- F5
- Jetty
- Kubernetes API Server
- Netty
- NGINX
- Node.js
- Microsoft .NET
- Swift-nio-http2
- Apache Tomcat
- Traefik Proxy
- Varnish
Wie prüft man, ob der eigene Server das http2 Protokoll nutzt?
Mit folgenden Befehlen können Sie ganz einfach selbst prüfen, ob Ihr Server betroffen ist:
OPENSSL
echo 1 | openssl s_client -alpn h2 -connect <meine-domain.de>:443 -status 2>&1 | grep "ALPN"
NMAP
nmap -p 443 --script=tls-nextprotoneg <meine-domain.de>
Fix für NGINX Server zum selber machen
Wer einen NGINX Server hat, kann durch geeignete Konfiguration den Server so härten, dass die Auswirkungen der Attacke eingedämmt werden. In einem Artikel von NGINX wird folgendes emfpohlen:
keepalive_requests = 1000
http2_max_concurrent_streams = 128
limit_conn = <individuell zu ermitteln>
limit_req = <individuell zu ermitteln>
Fix für Apache Server
Ein Update der Dependency nghttp2 des mod_http Moduls auf Version 1.57.0 schließt die Angriffsmöglichkeit.