Cloudflare、Google和AWS披露HTTP/2零日漏洞

HTTP/2 Rapid Reset漏洞披露与防护

10月10日,Cloudflare、Google和AWS共同披露了一种新型零日漏洞攻击,名为“HTTP/2 Rapid Reset”。该漏洞利用HTTP/2协议的弱点,能够生成高达每秒近4亿请求的分布式拒绝服务(DDoS)攻击。

漏洞概述

该漏洞编号为CVE-2023-44487,利用了HTTP/2协议的多路复用特性,即在一个HTTP会话中允许多个独立的逻辑连接。攻击者通过快速连续地发送请求和重置(RST_STREAM帧)来实施攻击,导致服务器在未完成请求的情况下被迫重置,但保持HTTP/2连接开放。

攻击规模与影响

  • Cloudflare在过去两个月中已缓解了超过1100次每秒超过1000万请求的DDoS攻击,其中184次攻击超过了之前的DDoS记录(7100万请求/秒)。
  • Google则成功缓解了一次峰值超过3.98亿请求/秒的攻击。
  • AWS也面临类似的挑战,并采取了相应的防护措施。

攻击特点

  • 攻击通过自动化“请求、取消、请求、取消”的模式,利用规模较小的僵尸网络(约2万台机器)即可实施大规模DDoS攻击。
  • HTTP/2协议的设计初衷是提高效率,但其特性也被攻击者用于提高DDoS攻击的效率。

防护措施

  • Cloudflare、Google和AWS已经在其CDN和WAF中实施了额外的防护措施,支持HTTP/2协议的客户应检查其服务器是否受到影响。
  • F5已为NGINX HTTP/2模块发布了补丁,增加系统稳定性并限制事件循环中引入的新流数量。
  • AWS提供了《AWS DDoS弹性最佳实践》白皮书,帮助在AWS上运行的应用程序减少DDoS攻击的影响。

专家建议

  • Tom Scholl(AWS副总裁)和Mark Ryland(亚马逊安全总监)建议,防御此类DDoS攻击需要实施能够检测并阻止恶意HTTP请求的架构。
  • Robin Marx(Akamai专家)指出,该漏洞不影响HTTP/3协议。
  • Daniel Bloom(安全研究员)发布了一款非侵入式漏洞扫描工具,用于检查Web服务器是否受CVE-2023-44487漏洞影响。

总结

HTTP/2 Rapid Reset漏洞展示了HTTP/2协议在提升效率的同时,也可能被用于大规模DDoS攻击。各大云服务提供商已采取措施缓解该漏洞的影响,并建议客户检查其服务器安全性,及时应用补丁和防护措施。

阅读 32
0 条评论