forum.opennet.ru

"Уязвимость в протоколе HTTP/2, применённая в крупнейшей DDoS-атаке"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+1 +/–
Сообщение от Аноним (-), 11-Окт-23, 10:39
> Ну так в том же Апаче сколько раз находили серьезные, а то и жуткие дыры в реализации H2. > Как ни крути, HTTP 1.1 при всей устарелости все таки изучен вдоль и поперек. Ну это еще как сказать, периодически всплывают новые креативные атаки. Если интересоваться разработкой HTTP серваков можно увидеть что порой прилетают очень креативные запросы - и - вот случается гамно. Особенно если у вас не дай боже по пути прокся или лоадбалансер, там даже с HTTP1 фронт <-> HTTP1 бэк можно откушать более 9000 приколов, если они например хидеры по разному понимают. А они это дело любят, поэтому есть прикольные вещи типа request smuggling и надеяться что это ВСЕ починено может только питоняша-оптимист, уверенный что ЯП и рантайм его от всего спасет. У атакующих на этот счет немного иные идеи и разваливается вон то только в путь.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в протоколе HTTP/2, применённая в крупнейшей DDoS-атаке, opennews, 10-Окт-23, 23:46 [смотреть все]

Исправление для CVE-2023-44487 было объединено golang go 63417И выпущен Go 1, Аноним, 10-Окт-23, 23:46 (1) //
- Зато фаны рекламившие caddy относительно nginx сейчас познают ярость Xel Naga , Аноним, 11-Окт-23, 09:12 (31)
- А как такое может быть Ошибка к примеру в grpc-go и golang , test, 11-Окт-23, 11:51 (77)
шах и мат растофилы s, Аноним, 10-Окт-23, 23:57 (3) //
- может растофобы или ты из тех, кто считает что позитивный тест на зппп это хоро, Аноним, 11-Окт-23, 00:02 (4) //
  - Ты это что же, на раст быковать смеешь Раст безопасный ЯП, защищает носителя от, Аноним, 11-Окт-23, 10:13 (52)
- Причем здесь это Атака есть вариация на тему DDOS с учетом особенностей протоко, Kuromi, 11-Окт-23, 00:07 (5) //
  - Да, всё верно, Rust не причем Был бы 8220 причём 8221 не было бы и уязвимос, Аноним, 11-Окт-23, 00:14 (9) //
    - Потому что HTTP 2 придумали сишники, очевидно же , Аноним, 11-Окт-23, 09:21 (33)
  - Ну как же Волшебная пилюля же От всего лечит, от всего спасает А когда не спа, Аноним2, 11-Окт-23, 03:40 (19) //
    - На самом деле, она не лечит, она увеличивает IQ for free Допустим, средний сиш, Аноним, 11-Окт-23, 11:29 (71)
      - Блин, если у этих IQ 80 то какой же тогда у вон тех, с хомячком на логотипе, и п, Аноним, 11-Окт-23, 18:57 (110)
- конечно не проявляется это же Rust детка , Аноним, 11-Окт-23, 00:23 (10)
- К чести сказать, уязвимые версии были Но эта проблема была закрыта ещё в апреле, НяшМяш, 11-Окт-23, 03:59 (21) //
  - Искали соринку в расте и нашли точно такую же как везде Всё остальное - попытка, Аноним, 11-Окт-23, 13:43 (90)
Тем временем, в angie пока никаких изменений https github com webserver-llc an, Аноним, 11-Окт-23, 00:11 (7) //
- Ой, да ладно тебе На время посмотри Вот проснуться и сразу черрипикнут фикс , Анонин, 11-Окт-23, 09:07 (29)
- Ну, Дунин же сказалСоответственно, и про angie - тоже FUD , Аноним, 11-Окт-23, 09:27 (35)
дооптимизировались Ну ничего, ничего - это еще http 3 никто даже толком и не ко, пох., 11-Окт-23, 00:11 (8) //
- Ну так в том же Апаче сколько раз находили серьезные, а то и жуткие дыры в реали, Kuromi, 11-Окт-23, 02:57 (18) //
  - Ну это еще как сказать, периодически всплывают новые креативные атаки Если инте , Аноним, 11-Окт-23, 10:39 (56) //
    - Особенно если использовать зоопарк смузиподелок, потому что общепринятые сервер, Аноним, 11-Окт-23, 13:46 (91)
      - Ну да У более-менее попсовых серверов - вытоптанность поляны выше среднего, им , Аноним, 11-Окт-23, 18:58 (111)
- Да ты не боись, в HTTP 1 1 пайплайнинг есть, а slowloris у так то и без него даж, Аноним, 11-Окт-23, 09:15 (32) //
  - IfModule mod_reqtimeout c RequestReadTimeout header 20-40,MinRate 500 body 2, Аноним, 11-Окт-23, 09:33 (36) //
    - Ну да, ну да, вы можете попытаться закостылить А атакующий - подобрать параметр, Аноним, 11-Окт-23, 10:02 (43)
      - Неа 2-3 секунды на отправку запроса - более чем достаточно для любого клиента , Аноним, 11-Окт-23, 10:04 (48)
        
        В случае slowloris идея - жрать ресурсы сервака как можно дольше и масштабнее с , Аноним, 11-Окт-23, 10:44 (57)
        
        Вот только slow lori тут не при чем Оно работает за счет того, что медленные за, Аноним, 11-Окт-23, 11:22 (69)
        
        Таймауты в несколько секунд сами по себе - факапнут и загрузку легитимных файлов, Аноним, 11-Окт-23, 16:13 (105)
- лол кек, опять кино про море, я вот только одно не понял, в nginx limit_req не о, Sw00p aka Jerom, 11-Окт-23, 10:27 (54) //
  - ограничивает, они даже радостно написали об этом в своем вывсеврети отклике на э, пох., 11-Окт-23, 23:22 (128) //
    - https trac nginx org nginx ticket 2155 comment 11, Alex_K, 13-Окт-23, 19:22 (145)
- солидарен, пох , crypt, 11-Окт-23, 12:49 (82)
Так вот почему ютуб сегодня такой дохлый , Аноним, 11-Окт-23, 00:27 (11)
Google-комбо - пиарить HTTP 3 и хейтить HTTP 2 на, так сказать, натуре , Аноним, 11-Окт-23, 01:45 (14) //
- э http 3 просто еще пальчиком никто не поковырял Там будут тааакие ништяки, , пох., 11-Окт-23, 01:55 (15) //
  - Mail ru ковырял Так и есть Там по дефолту никто не знает как защититься от ддо, Аноним2, 11-Окт-23, 04:18 (23)
- Ну тогда пиара HTTP 1 x в этих ваших интернетах было просто немеряно Это воо, Аноним, 11-Окт-23, 10:09 (50)
Для Netty выпущен фикс https netty io news 2023 10 10 4-1-100-Final htmlСтранн, Golangdev, 11-Окт-23, 02:20 (17) //
- У него поддержка TLS без которого HTTP 2 нормально не работает, потому что нуже, Аноним, 11-Окт-23, 09:25 (34)
- Что это за Shitty который без клаудспайвари сайт за клаудспайварой даже серви, Аноним, 11-Окт-23, 10:11 (51)
http 2 неудачный протокол как и всё что работает поверх типа gRPC , Вас, 11-Окт-23, 07:43 (26) //
- http неудачный протокол, хорошо что хоть что-то пытаются с этим сделать, но попы, Аноньимъ, 11-Окт-23, 10:49 (60) //
  - Ну во первых это апгрейд с HTTP Чтобы начать конект по вебсокету - надо част, Аноним, 11-Окт-23, 16:21 (106)
Пора вернуться к истокам , Аноним, 11-Окт-23, 09:03 (28) //
- Dial-up с FIDO Медиаконтент заказывать через BBS с доставкой на прокатной флешк, Аноним, 11-Окт-23, 09:12 (30) //
  - Флоппинет же, однако , Аноним, 11-Окт-23, 09:59 (40)
  - По телетайпу , Аноним, 11-Окт-23, 10:47 (58)
- Если серьезно, то вполне адекватный протокол вписывающийся в идеалогию suckless , Аноним, 11-Окт-23, 10:00 (41)
В детстве я тоже ддосил форумы и чатики спрутом 128513 шантажировав админов, Аноним, 11-Окт-23, 09:58 (38) //
- Спасибо за чистосердечное , Polizei, 11-Окт-23, 15:13 (99)
- И ещё гордишься этим Тфу Оброс подворотни , Аноним, 11-Окт-23, 15:28 (102)
Смысл было атаковать Google Они же легко определят DDoS и проанализируют его С, Пряник, 11-Окт-23, 10:00 (42) //
- Последние несколько лет идут разные сообщения о том, что уровень технической кул, Аноньимъ, 11-Окт-23, 10:52 (61) //
  - Неизбежный процесс для любой крупной корпорации - мотивированные люди вытесняютс, Аноним, 11-Окт-23, 11:25 (70) //
    - Возможно поэтому стала популярна культура кикстарта - сначала докажи, что ты нуж, Пряник, 11-Окт-23, 12:50 (83)
      - Корпорация и СССР, например, устроены очень похоже Старинный боян, давнишнее на, Аноним, 11-Окт-23, 13:26 (88)
        
        Верное наблюдение И там и там применяют технологию баптизма Лозунги транспа, Аноньимъ, 11-Окт-23, 14:49 (98)
        
        Идеальная корпоративная культура в банках Ошибка разработчикам известна Возможно, Аноним, 11-Окт-23, 15:27 (101)
        
        Это ещё не худший банк В одном жёлтом, например, несколько лет назад каждое движ, Аноним, 11-Окт-23, 19:44 (116)
      - Тем не менее, крупным коропорациям, у которых много денег, эта культура никак не, Аноним, 11-Окт-23, 14:25 (92)
        
        А кто сказал что жирнокорп не может деградировать и даже развалиться по модели р, Аноним, 11-Окт-23, 19:05 (112)
        
        Как раз в соседней новости про curl обсуждали, что из редхата сваливают мейнте, Аноним, 11-Окт-23, 23:19 (126)
        
        Ну так это ж не весь IBM со всеми его закоулками, а локальные траблы конкретного, Аноним, 12-Окт-23, 20:46 (136)
        
        Вы чего-то в больших корпорациях не понимаете , Аноньимъ, 13-Окт-23, 16:21 (141)
        
        Я в этих корпорациях еще и был В отличие от вас Но вы можете мне мастеркласс п, Аноним, 13-Окт-23, 21:15 (147)
  - Ну так наняли питоняш всяких, которым сложно более пары часов в день быть эффект, Аноним, 11-Окт-23, 16:24 (107) //
    - Питончик, игогоша, растишка, сишка абстракции на абстракциях сидят и абстракц, Аноним, 11-Окт-23, 23:04 (124)
      - Да вон они, колибру переписывают с 32 битов на 64 как раз Уже и C-- какой-то, Аноним, 12-Окт-23, 20:50 (137)
  - Ну что же, давай посмотрим, насколько всё грустно По данным Yahoo Finance, за , Менеджер Антона Алексеевича, 12-Окт-23, 22:45 (138) //
    - Вы за меня не переживайте, я не грущу Эта фраза не то означает, это оборот тако, Аноньимъ, 12-Окт-23, 23:43 (139)
    - И не будет коррелировать Как и вообще что либо реальное Смотря что у вас за би, Аноньимъ, 12-Окт-23, 23:59 (140)
      - Не нужно елозить У любого бизнеса основная цель ровно одна извлечение прибыли , Менеджер Антона Алексеевича, 13-Окт-23, 16:57 (142)
        
        То как оно офрмлено, и то чем оно является на самом деле - разные вещи Не говоря, Аноньимъ, 13-Окт-23, 17:57 (143)
        
        Бывает и такое да Обычно это банальный tax fraud Результат соответствующий Отн, Менеджер Антона Алексеевича, 13-Окт-23, 18:20 (144)
        
        Activision например Отличный результат От налогов их освобождает правительство, Аноньимъ, 13-Окт-23, 20:44 (146)
        
        Смотрим в официальный финансовый отчёт Activision Blizzard Income tax expense 15, Менеджер Антона Алексеевича, 13-Окт-23, 21:36 (149)
        
        Вы чего Тут ту ру Это 99 денег в США у малого бизнеса И там половина чего кого, Аноньимъ, 14-Окт-23, 01:41 (151)
        
        А вон там Майкрософт как раз попался на этом самом Всего ничего - 30 миллиардов, Аноним, 13-Окт-23, 21:19 (148)
        
        Ну так и в чём проблема-то Попался, получил по рукам, больше так не будет, буде, Менеджер Антона Алексеевича, 13-Окт-23, 22:33 (150)
Смысл вообще принимать запросов больше, чем можешь обработать Хотя никто даже н, Пряник, 11-Окт-23, 10:03 (46) //
- ну, по идеи, клиентов не терять - в очередь их ставить, а не к конкурентам отпра, Аноним, 11-Окт-23, 10:24 (53)
- О, вы не понимаете, дев ляп и в продакшен, должно работать ещё вчера, а вы тут ч, Аноньимъ, 11-Окт-23, 11:02 (62) //
  - Не не не, такой трафик в первую очередь влез в физический канал, объём которого , Пряник, 11-Окт-23, 12:43 (79) //
    - То им забили канал Так чтобы его забить вроде ненужно на принимающей стороне во, Аноньимъ, 11-Окт-23, 14:34 (96)
      - Сервера подвесили Просто, чтобы не подвесили можно было бы намеренно канал мень, Пряник, 11-Окт-23, 16:04 (104)
        
        Что в первом серваки заняты , что во втором канал занят случае - ваши серваки, Аноним, 11-Окт-23, 19:39 (115)
- И да, фаервол ненужен, это опять таки админу платить, у нас нет таких денег Д, Аноньимъ, 11-Окт-23, 11:05 (64) //
  - Все это замечательно, хотя между строчек и читается обидка, что заклятые девляпс, Аноним, 11-Окт-23, 11:42 (74) //
    - Девляпсы - вовремя адаптировавшиеся к прогрессу админы из подвальчиков Сейчас сл, Аноним, 11-Окт-23, 13:22 (87)
      - То есть, они имеют более развитый интеллект, чем те, которые не адаптировались , Аноним, 11-Окт-23, 14:27 (93)
    - Страшная правда заключается в том Вообще странно, вроде базовая штука, файрвол, Аноньимъ, 11-Окт-23, 14:29 (94)
      - Посчитать TCP-соединения можно Посчитать HTTP 2-стримы - нельзя И PPS к этому не, Аноним, 11-Окт-23, 19:37 (114)
        
        Чё Вы о чём вообще Http2 работает поверх TCP Один юзер это одно тср соединени, Аноньимъ, 11-Окт-23, 21:14 (117)
        
        На которое можно аллоцировать миллиарды стримов, у каждого из которых будут свои, Аноним, 11-Окт-23, 23:15 (125)
        
        потому что это не ошибка а стандарт http2 так написан , пох., 12-Окт-23, 11:00 (131)
        
        Да вот говорят, пришел Anna Senpai к Креббсу - и оказалось что не так уж тот Бэт, Аноним, 11-Окт-23, 23:01 (123)
  - Отдавать задачи на аутсорс - нормальная практика У фирм часто нет ни админов, н, Пряник, 11-Окт-23, 12:45 (80) //
    - Так как разбираться в чужом коде без качественной документации и консультаций от, Аноним, 11-Окт-23, 12:49 (81)
      - Вообще - да Но Походу сейчас идёт расслоение водителей кобыл на малочисленных и, Аноним, 11-Окт-23, 13:20 (86)
        
        Чтобы наладить IT-компоненты типового бизнеса который что-то заказывает, получа, Аноним, 11-Окт-23, 14:33 (95)
    - Ну такое, если вы мелкий продавец рогов и копыт, и вам нужен сайт визитка или не, Аноньимъ, 11-Окт-23, 14:42 (97)
      - менеджер Программист - нинюна , пох., 12-Окт-23, 11:02 (132)
я вот не особо понимаю, а какой практический смысл в дидосе, объективно если - ш, Аноним, 11-Окт-23, 10:27 (55) //
- есть же дети, которым надо в твиттере написать tango down, дауны епта, Sw00p aka Jerom, 11-Окт-23, 11:06 (65) //
  - Меня в бородатые времена как-то в жаббере ддосить они весёлый парень решил видим, Аноньимъ, 11-Окт-23, 11:13 (67) //
    - это же бизинессс, видать демо атака стресс тест была, а гугл завалить можно , Sw00p aka Jerom, 11-Окт-23, 11:51 (76)
    - Да, примерно год назад было популярно , Аноним, 11-Окт-23, 15:35 (103)
    - А я как-то видел как спамбот в жаба-конфу забрел Это совсем задник - он стал га, Аноним, 11-Окт-23, 16:29 (108)
      - Да, жабер забавная ерунда, внебрачный сын smtp и icq С парсерами хмл имел не так, Аноньимъ, 11-Окт-23, 21:22 (118)
        
        Скорее, HTML-я какого, при том - безразмерного Кто вообще догадался до идее что, Аноним, 11-Окт-23, 22:53 (120)
- Ну, причин может быть много Можно что-то скрыть А можно уронить или поднять чьи-, Аноньимъ, 11-Окт-23, 11:09 (66) //
  - ну да, все результаты - моментные, Аноним, 12-Окт-23, 19:48 (134)
- Бизнес нередко делают _частично_ закладываясь, что будет лучше, чем окажется на , Аноним, 11-Окт-23, 13:10 (85)
- Зиродей и небольшое количество ботов не вызывают удивления Похоже, что малой ча, Аноним, 11-Окт-23, 15:22 (100)
- если ты гугль или еще кто там с бесконечной деньгой или бесконечными ресурсами, , пох., 11-Окт-23, 23:40 (130) //
  - ну, теоритически - дану если, к примеру, открыть онлайн-магаз, конкурент там озо, Аноним, 12-Окт-23, 19:52 (135)
я тут из софта вижу только nginx, остальное - хистомусор маленьким хипсторами н, 12yoexpert, 11-Окт-23, 11:04 (63) //
- nginx тоже хипстота на смузях, труЪ одмины используют опач , Аноним, 11-Окт-23, 11:18 (68) //
  - он жив , Иваня, 11-Окт-23, 11:41 (73) //
    - Живой проект - это хипсторский термин, означающий полуфабрикат, нуждающийся в , Аноним, 11-Окт-23, 12:36 (78)
      - И по достижении второго пункта отбираются в Debian или RHEL Да , Аноним, 11-Окт-23, 13:04 (84)
      - И через какое время после EOL с вашей точки зрения проект становится production , Котофалк, 11-Окт-23, 18:02 (109)
        
        А вот как погрузят тебя на котофалк - так ты и production ready для вон тех ворк, Аноним, 11-Окт-23, 19:16 (113)
        
        тук-тук, не пригласите ли войти в ваш уютный домик С удовольствием поспорю с ва, пох., 11-Окт-23, 23:35 (129)
        А фиг его знает, EoL или не EoL, по факту понятно только что EoS , Tron is Whistling, 12-Окт-23, 14:40 (133)
Проблема ожидаема, Аноним, 11-Окт-23, 11:51 (75)
TCP 3-way и x-RTT лишнее, говорили они Ну, расхлёбывайте теперь Наверняка далек, Tron is Whistling, 11-Окт-23, 22:49 (119) //
- Слышь, эксперт, сабж так то поверх TCP работает , Аноним, 11-Окт-23, 22:55 (121) //
  - Я не про сабж, а про оверол психолохию HTTP 3 ещё хуже, просто пока на стадии Дж, Tron is Whistling, 11-Окт-23, 22:59 (122)
  - И да, сколько TCP 3-way сабж делает на вот данное число сеансов , Tron is Whistling, 11-Окт-23, 23:19 (127)
HTTP 2 устарел Все срочно переходим на HTTP 3, Google, 16-Окт-23, 18:03 (152)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру