每秒3.98亿次请求,HTTP/2漏洞导致创纪录的DDoS攻击
发布日期:2023-10-12      作者:       来源:      分享:

每秒3.98亿次请求,HTTP/2漏洞导致创纪录的DDoS攻击

image.png

本周二,AWS、Google和Cloudflare表示,他们在8月份检测到有史以来规模最大的分布式拒绝服务(DDoS)攻击——而这是由于HTTP/2协议的一个零日漏洞(CVE-2023-44487)被利用。

AWS表示在2023年8月28日至29日期间,他们目击了一次峰值超过每秒1.55亿次请求的攻击;Cloudflare观察到了一个每秒2.01亿次请求的峰值;Google则表示,他们在8月份遭受的攻击规模是先前记录的8倍多——每秒3.98亿次请求。

HTTP/2是大约60%的网络应用程序的一部分,决定了用户与网站互动的速度和质量。HTTP/2协议的一个特性是,允许在一个TCP连接上向服务器发送多个HTTP请求。这些请求按顺序流式传输到服务器上,服务器收集这些请求流,进行处理并做出响应。因此,当浏览器打开一个页面时,它可以通过一个连接逐个发送所有内容的请求,这比HTTP/1.x的传统方法更高效——后者通常需要花费时间和资源来建立多个并行的TCP连接来从服务器获取内容,HTTP/2则通过一个连接完成所有操作。

HTTP/2协议的流式传输功能的一个特点是能够发送请求,并在不久后取消该请求。当客户端发出一个请求,然后取消它时,服务器会停止处理该请求,但保持HTTP/2连接开放。这样就避免了打开和关闭多个TCP连接。

虽然服务器在一个TCP连接上只允许有限数量的流,但Rapid Reset攻击绕过了这个限制。攻击者发送一个请求到流中,然后迅速重置该流,取消该请求并保持连接开放。因为每个请求都被取消了,所以并未计入最大允许流的数量。攻击者只需不断发送请求并快速重置,重复此过程,如此一来服务器就不得不开始和停止大量垃圾请求。

Cloudflare的分析显示,黑客通过利用HTTP/2中的上述漏洞,仅需要使用一个比平常小得多的机器人网络(大约两万台机器),就能够产生如此大量的请求,并有可能让支持HTTP/2的几乎任何服务器或应用程序瘫痪,突显了该漏洞对于没有保护的网络来说是多么具有威胁性。

由于问题出自HTTP/2功能本身,因此并没有技术上的修复补丁。上述三家服务提供商都已经为此发布了缓解措施,以免受Rapid Reset攻击的影响。


友情链接:

返回软协官网首页

通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室     邮政编码:100080

电话:010-62565314 刘莉    京ICP证16064523号-2    版权所有:北京软件和信息服务业协会

技术支持:中科服    内容支持:鑫网安

你知道你的Internet Explorer是过时了吗?

为了得到我们网站最好的体验效果,我们建议您升级到最新版本的Internet Explorer或选择另一个web浏览器.一个列表最流行的web浏览器在下面可以找到.