本周二，AWS、Google和Cloudflare表示，他们在8月份检测到有史以来规模最大的分布式拒绝服务（DDoS）攻击——而这是由于HTTP/2协议的一个零日漏洞（CVE-2023-44487）被利用。

AWS表示在2023年8月28日至29日期间，他们目击了一次峰值超过每秒1.55亿次请求的攻击；Cloudflare观察到了一个每秒2.01亿次请求的峰值；Google则表示，他们在8月份遭受的攻击规模是先前记录的8倍多——每秒3.98亿次请求。

HTTP/2是大约60%的网络应用程序的一部分，决定了用户与网站互动的速度和质量。HTTP/2协议的一个特性是，允许在一个TCP连接上向服务器发送多个HTTP请求。这些请求按顺序流式传输到服务器上，服务器收集这些请求流，进行处理并做出响应。因此，当浏览器打开一个页面时，它可以通过一个连接逐个发送所有内容的请求，这比HTTP/1.x的传统方法更高效——后者通常需要花费时间和资源来建立多个并行的TCP连接来从服务器获取内容，HTTP/2则通过一个连接完成所有操作。

HTTP/2协议的流式传输功能的一个特点是能够发送请求，并在不久后取消该请求。当客户端发出一个请求，然后取消它时，服务器会停止处理该请求，但保持HTTP/2连接开放。这样就避免了打开和关闭多个TCP连接。

虽然服务器在一个TCP连接上只允许有限数量的流，但Rapid Reset攻击绕过了这个限制。攻击者发送一个请求到流中，然后迅速重置该流，取消该请求并保持连接开放。因为每个请求都被取消了，所以并未计入最大允许流的数量。攻击者只需不断发送请求并快速重置，重复此过程，如此一来服务器就不得不开始和停止大量垃圾请求。

Cloudflare的分析显示，黑客通过利用HTTP/2中的上述漏洞，仅需要使用一个比平常小得多的机器人网络（大约两万台机器），就能够产生如此大量的请求，并有可能让支持HTTP/2的几乎任何服务器或应用程序瘫痪，突显了该漏洞对于没有保护的网络来说是多么具有威胁性。

由于问题出自HTTP/2功能本身，因此并没有技术上的修复补丁。上述三家服务提供商都已经为此发布了缓解措施，以免受Rapid Reset攻击的影响。

编辑：左右里

资讯来源：Cloudflare、Google、AWS、Microsoft

转载请注明出处和本文链接