HTTP/2 Rapid Reset漏洞披露与防护
10月10日,Cloudflare、Google和AWS共同披露了一种新型零日漏洞攻击,名为“HTTP/2 Rapid Reset”。该漏洞利用HTTP/2协议的弱点,能够生成高达每秒近4亿请求的分布式拒绝服务(DDoS)攻击。
漏洞概述
该漏洞编号为CVE-2023-44487,利用了HTTP/2协议的多路复用特性,即在一个HTTP会话中允许多个独立的逻辑连接。攻击者通过快速连续地发送请求和重置(RST_STREAM帧)来实施攻击,导致服务器在未完成请求的情况下被迫重置,但保持HTTP/2连接开放。
攻击规模与影响
- Cloudflare在过去两个月中已缓解了超过1100次每秒超过1000万请求的DDoS攻击,其中184次攻击超过了之前的DDoS记录(7100万请求/秒)。
- Google则成功缓解了一次峰值超过3.98亿请求/秒的攻击。
- AWS也面临类似的挑战,并采取了相应的防护措施。
攻击特点
- 攻击通过自动化“请求、取消、请求、取消”的模式,利用规模较小的僵尸网络(约2万台机器)即可实施大规模DDoS攻击。
- HTTP/2协议的设计初衷是提高效率,但其特性也被攻击者用于提高DDoS攻击的效率。
防护措施
- Cloudflare、Google和AWS已经在其CDN和WAF中实施了额外的防护措施,支持HTTP/2协议的客户应检查其服务器是否受到影响。
- F5已为NGINX HTTP/2模块发布了补丁,增加系统稳定性并限制事件循环中引入的新流数量。
- AWS提供了《AWS DDoS弹性最佳实践》白皮书,帮助在AWS上运行的应用程序减少DDoS攻击的影响。
专家建议
- Tom Scholl(AWS副总裁)和Mark Ryland(亚马逊安全总监)建议,防御此类DDoS攻击需要实施能够检测并阻止恶意HTTP请求的架构。
- Robin Marx(Akamai专家)指出,该漏洞不影响HTTP/3协议。
- Daniel Bloom(安全研究员)发布了一款非侵入式漏洞扫描工具,用于检查Web服务器是否受CVE-2023-44487漏洞影响。
总结
HTTP/2 Rapid Reset漏洞展示了HTTP/2协议在提升效率的同时,也可能被用于大规模DDoS攻击。各大云服务提供商已采取措施缓解该漏洞的影响,并建议客户检查其服务器安全性,及时应用补丁和防护措施。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。