Document details

Dissertação de Mestrado em Segurança Informática apresentada à Faculdade de Ciências e Tecnologia

The crescent threat of Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks is a concern to all businesses that want to assure availability of their services to legitimate users. A new vulnerability, considered zero-day until October 2023, was discovered and exploited using botnets to create a Distributed Denial of Service attack. The attacks used the HTTP protocol to abuse a specific characteristic existing in version 2 of this protocol, the ability to cancel the state of a stream. This vulnerability is known as HTTP/2 Rapid reset and allows an attacker to bypass the configuration agreed with servers to send more concurrent streams that what was agreed, running out the server’s resources and compromising server’s availability. As the majority of the HTTP traffic seen in the internet is HTTP/2 there is a constant threat that attacks can use to affect multiple servers. The goal of this project is to prioritize Machine Learning technologies, more especially, those belonging to the supervised learning category, in order to providea more comprehensive defense-in-depth strategy. Projects made available to the security community as Proof of Concept were used to investigate and identify the threat. Additionally, Python was used to create a Proof of Concept that allowed the attack to be simulated in both HTTP and HTTPS environments. The work developed demonstrates the effectiveness of supervised learning algorithms in detecting vulnerabilities in encrypted traffic, which could be a security control to consider, in order to anticipate the detection of threats that exploit the existent vulnerability in the HTTP/2 protocol.

A ameaça crescente de ataques de negação de serviço (DoS) e negação de serviço distribuída (DDoS) é uma preocupação para todas as empresas que procuram garantir a disponibilidade dos seus serviços para utilizadores legítimos. Uma nova vulnerabilidade, considerada zero-day até meados de outubro de 2023, foi descoberta após ter sido explorada por botnets para criar um ataque distribuído de negação de serviço. Os ataques usaram o protocolo HTTP para abusar uma característica específica da versão 2 do protocolo, a capacidade de cancelar o estado de uma stream. Esta vulnerabilidade é conhecida como HTTP/2 Rapid Reset e permite que um atacante ignore a configuração acordada com o servidor para enviar mais streams em simultâneo do que as que foram acordadas, esgotando os recursos do servidor e comprometendo a disponibilidade dos serviços. Como grande parte do tráfego HTTP presente na Internet acontece na versão 2, que se encontra vulnerável, sendo esta uma ameaça constante, dado que atores maliciosos podem usar esta vulnerabilidade para afetar potenciais alvos. Com este projeto pretende-se contribuir para uma abordagem de defesa em profundidade mais robusta, priorizando soluções de Machine Learning capazes de detetar esta vulnerabilidade emergente, especificamente através de algoritmos inseridos na categoria de supervised learning. O ataque foi estudado e detetado recorrendo a projetos divulgados como Prova de Conceito na comunidade de Segurança. Adicionalmente, foi desenvolvida de uma prova de conceito utilizando Python, sendo possível simular o ataque em cenários HTTP e HTTPS. O trabalho desenvolvido demonstra a eficácia de algoritmos de supervised learning em detetar a vulnerabilidade em tráfego encriptado, podendo este ser um controlo de segurança a considerar, tendo em vista a antecipação na deteção de ameaças que explorem a vulnerabilidade existente no protocolo HTTP/2.