HTTP/2 快速重置 DDOS 漏洞几乎影响所有网站

2023-12-14 19:18:32


一种新形式的DDOS的细节,它需要相对最少的资源来发起前所未有的规模的攻击,这使得网站成为一个明显的危险,因为服务器软件公司竞相发布补丁来防范它。

HTTP/2 快速重置漏洞
该漏洞利用了 HTTP/2 和 HTTP/3 网络协议,这些协议允许多个数据流进出服务器和浏览器。

这意味着浏览器可以从服务器请求多个资源并将它们全部返回,而不必等待每个资源一次下载一个。

Cloudflare、Amazon Web Services (AWS) 和 Google 公开宣布的漏洞称为 HTTP/2 快速重置。

绝大多数现代 Web 服务器都使用 HTTP/2 网络协议。

由于目前没有软件补丁来修复 HTTP/2 安全漏洞,这意味着几乎每台服务器都容易受到攻击。

新漏洞利用且无法缓解它称为零日漏洞利用。

好消息是,服务器软件公司正在努力开发补丁来弥补 HTTP/2 的弱点。

HTTP/2 快速重置漏洞的工作原理

HTTP/2 网络协议具有服务器设置,允许在任何给定时间发出一定数量的请求。

超过该数量的请求将被拒绝。

HTTP/2 协议的另一个功能允许取消请求,这会将该数据流从预设的请求限制中删除。

这是一件好事,因为它可以释放服务器来转身处理另一个数据流。

然而,攻击者发现,有可能向服务器发送数百万(是的,数百万)个请求和取消并使其不堪重负。

HTTP/2 快速重置有多糟糕?

HTTP/2 快速重置漏洞非常糟糕,因为服务器目前没有防御措施。

Cloudflare指出,它已经阻止了一次DDOS攻击,该攻击比历史上最大的DDOS攻击大300%。

他们阻止的最大请求超过了每秒 2.01 亿个请求 (RPS)。

谷歌报告了超过 3.98 亿 RPS 的 DDOS 攻击。

但这还不是这个漏洞有多糟糕的全部。

更糟糕的是,发起攻击需要相对微不足道的资源。

这种规模的DDOS攻击通常需要数十万到数百万台受感染的计算机(称为僵尸网络)才能发起这种规模的攻击。

HTTP/2 快速重置漏洞利用只需要 20,000 台受感染的计算机即可发起攻击,其规模是有史以来最大的 DDOS 攻击的三倍。

这意味着黑客获得发动毁灭性DDOS攻击能力的门槛要低得多。

如何防止 HTTP/2 快速重置?

服务器软件发行商目前正在努力发布补丁以修复 HTTP/2 漏洞利用漏洞。Cloudflare 客户目前受到保护,不必担心。

Cloudflare建议,在最坏的情况下,如果服务器受到攻击且毫无防御能力,服务器管理员可以将HTTP网络协议降级为HTTP/1.1。

降级网络协议将阻止黑客继续攻击,但服务器性能可能会变慢(至少比离线要好)

文章来源:https://blog.csdn.net/SEOjiaoxue/article/details/134994823
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。