一种新型 DDOS 的详细信息需要相对最少的资源来发起前所未有的规模攻击,这使得它对网站构成明显的危险,服务器软件公司竞相发布补丁来防御它。
HTTP/2 快速重置漏洞
该漏洞利用了HTTP/2和 HTTP/3 网络协议,允许多个数据流传入和传出服务器和浏览器。
这意味着浏览器可以从服务器请求多个资源并将它们全部返回,而不必等待每个资源一次下载一个。
Cloudflare、Amazon Web Services (AWS) 和 Google 公开宣布的漏洞被称为 HTTP/2 Rapid Reset。
绝大多数现代 Web 服务器都使用 HTTP/2 网络协议。
由于目前没有软件补丁可以修复 HTTP/2 安全漏洞,这意味着几乎每台服务器都容易受到攻击。
一种新的且无法缓解的漏洞称为零日漏洞。
好消息是服务器软件公司正在开发补丁来弥补 HTTP/2 的弱点。
HTTP/2 快速重置漏洞的工作原理
HTTP/2 网络协议有一个服务器设置,允许在任何给定时间发出一定数量的请求。超过该数量的请求将被拒绝。
HTTP/2 协议的另一个功能允许取消请求,从而将该数据流从预设的请求限制中删除。
这是一件好事,因为它可以让服务器腾出时间来处理另一个数据流。
然而,攻击者发现,有可能向服务器发送数百万(是的,数百万)个请求和取消,并使服务器不堪重负。
HTTP/2 快速重置有多糟糕?
HTTP /2 快速重置漏洞利用非常糟糕,因为服务器目前无法防御它。
Cloudflare 指出,它阻止了比历史上最大的 DDOS 攻击大 300% 的 DDOS 攻击。
他们阻止的最大请求每秒超过 2.01 亿个请求 (RPS)。
Google 报告了一次 DDOS 攻击,RPS 超过 3.98 亿。
但这还不是这个漏洞利用的全部严重程度。
使这种利用变得更糟糕的是,发起攻击只需要相对少量的资源。
这种规模的 DDOS 攻击通常需要数十万到数百万台受感染的计算机(称为僵尸网络)才能发起如此规模的攻击
HTTP/2 快速重置漏洞仅需要 20,000 台受感染的计算机即可发起攻击,其规模是有史以来最大的 DDOS 攻击的三倍。
这意味着黑客获得发起毁灭性 DDOS 攻击的能力的门槛要低得多。
如何防止 HTTP/2 快速重置?
服务器软件发行商目前正在努力发布补丁以弥补 HTTP/2 漏洞。Cloudflare 客户目前受到保护,无需担心。
Cloudflare建议,在最坏的情况下,如果服务器受到攻击且无法防御,服务器管理员可以将HTTP网络协议降级为HTTP/1.1。
降级网络协议将阻止黑客继续攻击,但服务器性能可能会降低(这至少比离线要好)。
阅读安全公告
Cloudflare 博客文章:
HTTP/2 零日漏洞导致破纪录的 DDoS 攻击
谷歌云安全警报:
谷歌缓解了迄今为止最大规模的 DDoS 攻击,峰值超过 3.98 亿 rps
AWS 安全警报:
CVE-2023-44487 – HTTP/2 快速重置攻击