本周二,AWS、Google和Cloudflare表示,他们在8月份检测到有史以来规模最大的分布式拒绝服务(DDoS)攻击——而这是由于HTTP/2协议的一个零日漏洞(CVE-2023-44487)被利用。
AWS表示在2023年8月28日至29日期间,他们目击了一次峰值超过每秒1.55亿次请求的攻击;Cloudflare观察到了一个每秒2.01亿次请求的峰值;Google则表示,他们在8月份遭受的攻击规模是先前记录的8倍多——每秒3.98亿次请求。
HTTP/2是大约60%的网络应用程序的一部分,决定了用户与网站互动的速度和质量。HTTP/2协议的一个特性是,允许在一个TCP连接上向服务器发送多个HTTP请求。这些请求按顺序流式传输到服务器上,服务器收集这些请求流,进行处理并做出响应。因此,当浏览器打开一个页面时,它可以通过一个连接逐个发送所有内容的请求,这比HTTP/1.x的传统方法更高效——后者通常需要花费时间和资源来建立多个并行的TCP连接来从服务器获取内容,HTTP/2则通过一个连接完成所有操作。
HTTP/2协议的流式传输功能的一个特点是能够发送请求,并在不久后取消该请求。当客户端发出一个请求,然后取消它时,服务器会停止处理该请求,但保持HTTP/2连接开放。这样就避免了打开和关闭多个TCP连接。
虽然服务器在一个TCP连接上只允许有限数量的流,但Rapid Reset攻击绕过了这个限制。攻击者发送一个请求到流中,然后迅速重置该流,取消该请求并保持连接开放。因为每个请求都被取消了,所以并未计入最大允许流的数量。攻击者只需不断发送请求并快速重置,重复此过程,如此一来服务器就不得不开始和停止大量垃圾请求。
Cloudflare的分析显示,黑客通过利用HTTP/2中的上述漏洞,仅需要使用一个比平常小得多的机器人网络(大约两万台机器),就能够产生如此大量的请求,并有可能让支持HTTP/2的几乎任何服务器或应用程序瘫痪,突显了该漏洞对于没有保护的网络来说是多么具有威胁性。
由于问题出自HTTP/2功能本身,因此并没有技术上的修复补丁。上述三家服务提供商都已经为此发布了缓解措施,以免受Rapid Reset攻击的影响。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安