一種新型 DDOS 的詳細資訊需要相對最少的資源來發動前所未有的規模攻擊,這使得伺服器軟體公司爭相發布修補程式來保護自己,這對網站構成了明顯的危險。
HTTP/2 快速重設漏洞
該漏洞利用 HTTP/2 和 HTTP/3 網路協議,允許多個資料流傳入和傳出伺服器和瀏覽器。
這意味著瀏覽器可以從伺服器請求多個資源並將它們全部返回,而不必等待每次下載一個資源。
Cloudflare、Amazon Web Services (AWS) 和 Google 公開宣布的漏洞稱為 HTTP/2 Rapid Reset。
絕大多數現代 Web 伺服器都使用 HTTP/2 網路協定。
由於目前沒有軟體修補程式可以修復 HTTP/2 安全漏洞,這意味著幾乎所有伺服器都容易受到攻擊。
一種新的且無法緩解的漏洞稱為零日漏洞。
好消息是伺服器軟體公司正在努力開發修補程式來修復 HTTP/2 漏洞。
HTTP/2 快速重置漏洞的工作原理
HTTP/2 網路協定的伺服器配置允許在給定時間允許一定數量的請求。
超過此數量的申請將被拒絕。
HTTP/2 協定的另一個功能允許取消請求,從而將該資料流從預設的請求限制中刪除。
這很好,因為它可以讓伺服器騰出時間來處理另一個資料流。
然而,攻擊者發現,有可能向伺服器發送數百萬(是的,數百萬)請求和取消,並使其不堪重負。
HTTP/2 快速重置有多糟糕?
這 HTTP/2 快速重置漏洞非常糟糕 因為伺服器目前對此沒有防禦能力。
Cloudflare 指出,它阻止了一次比歷史上最大的 DDOS 攻擊規模大 300% 的 DDOS 攻擊。
他們阻止的最大請求每秒超過 2.01 億個請求 (RPS)。
谷歌報告稱 DDOS 攻擊超過 3.98 億 RPS。
但這還不是這種剝削的全部邪惡程度。
使這種利用變得更糟的是,發動攻擊只需要相對少量的資源。
這種規模的 DDOS 攻擊通常需要數十萬到數百萬台受感染的電腦(稱為殭屍網路)才能發動這種規模的攻擊。
HTTP/2 快速重置漏洞僅需要 20,000 台受感染的電腦即可發動比有史以來最大的 DDOS 攻擊大三倍的攻擊。
這意味著駭客發動毀滅性 DDOS 攻擊的門檻要低得多。
如何防止 HTTP/2 快速重設?
伺服器軟體發行商目前正在努力發布補丁以彌補 HTTP/2 漏洞。 目前,Cloudflare 客戶受到保護,無需擔心。
Cloudflare 建議,在最壞的情況下,如果伺服器受到攻擊並且容易受到攻擊,伺服器管理員可以將 HTTP 網路協定降級為 HTTP/1.1。
降低網路協定將阻止駭客繼續攻擊,但伺服器效能可能會下降(這至少比離線要好)。
閱讀安全公告
Cloudflare 部落格文章:
HTTP/2 零時差漏洞導致創紀錄的 DDoS 攻擊
谷歌雲端安全警報:
Google 緩解了迄今為止最大規模的 DDoS 攻擊,達到 3.98 億 rps
AWS 安全警報:
CVE-2023-44487:HTTP/2 快速重置攻擊
精選圖片由 Shutterstock/Illusmile 提供
