Die HTTP/2 RST_STREAM Attacke: Ein tieferer Einblick

Das Internet ist ständig im Wandel, und mit ihm kommen neue Bedrohungen. Eine solche neue Bedrohung, die seit Ende August 2023 in Erscheinung tritt, ist die „HTTP/2 RST_STREAM“ Attacke. Wir gehen mehr ins Detail, um zu verstehen, was sie ausmacht und wie man sich dagegen schützen kann.

Die Wurzeln von HTTP: Ein kurzer Exkurs

Bevor wir uns der neuen Bedrohung widmen, blicken wir zurück auf die Entwicklung von HTTP. Ursprünglich war für jedes einzelne Web-Element einer Internetseite, ob nun für ein Bild oder einen Textblock, eine separate Verbindung zwischen Browser und Webserver erforderlich. Die Einführung von HTTP/1.1 verbesserte diesen Prozess mit der Einführung des "pipelining", wodurch mehrere Anfragen innerhalb einer Verbindung möglich wurden. Dies führte zu einer beschleunigten Ladezeit von Webseiten, was in der Webentwicklung natürlich bevorzugt wird.

 

HTTP/2: Der nächste große Schritt im Jahre 2015

Mit der Einführung von HTTP/2 kamen parallele Streams ins Spiel. Ein Browser kann jetzt mehrere Web-Elemente gleichzeitig anfordern und diese Anfragen bei Bedarf auch abbrechen – dies wird durch das Kommando "RST_STREAM" realisiert. Ein großer Vorteil, da Nutzer so schneller auf Webinhalte zugreifen und ungewünschte Anfragen stoppen können.

Doch diese Funktion hat ihre Tücken. Die RST_STREAM Attacke nutzt genau diese Funktionalität aus. Ein Angreifer kann eine Vielzahl von Datenströmen öffnen, komplexe Anfragen an einen Server senden und diese dann abrupt beenden. Das Problem? Der Server hat Ressourcen für jede dieser Suchanfragen aufgewendet, auch wenn die Ergebnisse nicht mehr benötigt werden und bekommt gleichzeitig schon die nächsten Anfragen.

 

Das Kernproblem und sein Potential

Durch dieses Designproblem kann ein Angreifer Serverressourcen mit unzähligen Anfragen wie "https://www.nextlayer.at/suche/?word=randomsearch" überfluten. Das perfide daran: Diese Angriffe können mit minimalen Ressourcen auf Seiten des Angreifers durchgeführt werden, während der angegriffene Server massiven Ressourcenaufwand betreiben muss. Das Endergebnis? Ein überlasteter Server, der durch zu viele Anfragen versagt. Oft wird diese Art des Angriffs auch mit anderen Infrastrukturangriffen kombiniert.

Während der Webserver mit dieser Flut an Anfragen beschäftigt ist, können andere kritische Infrastrukturen, wie Firewalls oder Nameserver, ins Visier genommen werden, wodurch der Angriff noch gefährlicher wird. Dies versteckt den einfachen Angriff, macht die Suche komplexer, so dass die Ausfallsdauer steigt.

 

Schutzmaßnahmen

Die gute Nachricht: Es gibt Möglichkeiten, sich vor solchen Angriffen zu schützen. Viele Unternehmen setzen bereits Schutzmaßnahmen auf Netzwerkebene um, um solche Angriffe zu blockieren und den betroffenen Abteilungen Zeit für eine angemessene Reaktion zu geben.

Es ist unerlässlich, dass Unternehmen ihre Systeme regelmäßig aktualisieren und patchen, um solchen neuen Bedrohungen immer einen Schritt voraus zu sein.

 

Fazit

Das Internet entwickelt sich ständig weiter, und während neue Technologien zahlreiche Vorteile bieten, bringen sie auch neue Herausforderungen mit sich. Durch Wachsamkeit und ständige Weiterbildung können wir sicherstellen, dass IT-Systeme und Netzwerke sowohl effizient als auch sicher bleiben.