HTTP/2快速重置攻击——新协议下的洪水
HTTP/2快速重置攻击——新协议下的洪水摘要:HTTP/2快速重置攻击(Rapid Reset)利用HTTP/2的流取消机制,攻击者快速发送请求并立即发送RST_STREAM帧,使服务器处理部分请求但立即释放资源,导致大量半开连接耗尽CPU和内存。本文分析CVE-2023-44487的原理及防御:升级负载均衡器、限流、禁用HTTP/2连接复用速率。关键词:黑客网站攻击;HTTP/2;快速重置;DDoS;渗透测试;CVE-2023-44487一、引言2023年,HTTP/2协议曝出严重DDoS漏洞,许多云服务商遭受大规模攻击。攻击者利用RST_STREAM帧快速取消请求,使服务器在最少的带宽下消耗大量计算资源。二、攻击原理[*]攻击者发送单个TCP连接,随后并发发送大量HEADERS帧(请求)和立即的RST_STREAM帧。
[*]服务器为每个请求分配资源(如解码头部、分配流ID),但在完成之前收到取消,仍需清理。
[*]高频率下CPU和内存耗尽。
三、防御措施
[*]升级到修复版本:所有主流代理(Nginx、Apache、Envoy)已发布补丁,限制每秒连接和并发流数。
[*]禁用HTTP/2(临时方案)。
[*]应用层速率限制:对单个源IP的RST_STREAM速率进行限制。
四、总结零日漏洞在所难免,但及时更新和限流策略可以有效缓解此类攻击。
页:
[1]