本週二,AWS、Google和Cloudflare表示,他們在8月份檢測到有史以來規模最大的分散式拒絕服務(DDoS)攻擊——而這是由於HTTP/2協議的一個零日漏洞(CVE-2023-44487)被利用。
AWS表示在2023年8月28日至29日期間,他們目擊了一次峰值超過每秒1.55億次請求的攻擊;Cloudflare觀察到了一個每秒2.01億次請求的峰值;Google則表示,他們在8月份遭受的攻擊規模是先前記錄的8倍多——每秒3.98億次請求。
HTTP/2是大約60%的網路應用程式的一部分,決定了使用者與網站互動的速度和質量。HTTP/2協議的一個特性是,允許在一個TCP連線上向伺服器傳送多個HTTP請求。這些請求按順序流式傳輸到伺服器上,伺服器收集這些請求流,進行處理並做出響應。因此,當瀏覽器開啟一個頁面時,它可以透過一個連線逐個傳送所有內容的請求,這比HTTP/1.x的傳統方法更高效——後者通常需要花費時間和資源來建立多個並行的TCP連線來從伺服器獲取內容,HTTP/2則透過一個連線完成所有操作。
HTTP/2協議的流式傳輸功能的一個特點是能夠傳送請求,並在不久後取消該請求。當客戶端發出一個請求,然後取消它時,伺服器會停止處理該請求,但保持HTTP/2連線開放。這樣就避免了開啟和關閉多個TCP連線。
雖然伺服器在一個TCP連線上只允許有限數量的流,但Rapid Reset攻擊繞過了這個限制。攻擊者傳送一個請求到流中,然後迅速重置該流,取消該請求並保持連線開放。因為每個請求都被取消了,所以並未計入最大允許流的數量。攻擊者只需不斷髮送請求並快速重置,重複此過程,如此一來伺服器就不得不開始和停止大量垃圾請求。
Cloudflare的分析顯示,駭客透過利用HTTP/2中的上述漏洞,僅需要使用一個比平常小得多的機器人網路(大約兩萬臺機器),就能夠產生如此大量的請求,並有可能讓支援HTTP/2的幾乎任何伺服器或應用程式癱瘓,突顯了該漏洞對於沒有保護的網路來說是多麼具有威脅性。
由於問題出自HTTP/2功能本身,因此並沒有技術上的修復補丁。上述三家服務提供商都已經為此釋出了緩解措施,以免受Rapid Reset攻擊的影響。
編輯:左右裡
資訊來源:Cloudflare、Google、AWS、Microsoft
轉載請註明出處和本文連結