谷歌、Cloudflare和AWS今天披露了一个新的零日漏洞,称为HTTP/2快速重置攻击。这种在现实世界中出现的攻击依赖于HTTP2协议中的一个弱点,用于执行“超容量”分布式拒绝服务攻击。
近几个月来,Cloudflare、AWS、谷歌以及其他大型云提供商都受到了这些攻击的挑战,其中一些DDoS攻击目前每秒的请求量在2亿至近4亿次之间。谷歌云报告称,由于这次被称为HTTP/2快速重置攻击的攻击,RPS达到了破纪录的3.98亿。
这个
谷歌云博客
对这一新的安全披露有很好的报道。HTTP2快速重置攻击总结为:
HTTP/2协议允许客户端通过发送RST_stream帧向服务器指示应取消前一个流。该协议不要求客户端和服务器以任何方式协调取消,客户端可以单方面进行。客户端还可以假设,在y来自该TCP连接的其他数据被处理。
这种攻击被称为快速重置,因为它依赖于端点在发送请求帧后立即发送RST_STREAM帧的能力,这会使另一个端点开始工作,然后快速重置请求。请求被取消,但HTTP/2连接仍处于打开状态。
。。。
基于此功能构建的HTTP/2快速重置攻击很简单:客户端像标准的HTTP/2攻击一样,一次打开大量流,但客户端没有等待服务器或代理对每个请求流的响应,而是立即取消每个请求。立即重置流的能力允许每个连接在飞行中有不确定数量的请求。通过明确取消请求,攻击者永远不会超过并发打开流的数量限制。飞行中请求的数量不再取决于往返时间(RTT),而仅取决于可用的网络带宽。
在典型的HTTP/2服务器实现中,服务器仍然需要为取消的请求做大量的工作,例如分配新的流数据结构、解析查询和进行头解压缩,以及将URL映射到资源。对于反向代理实现,可以在RST_STREAM帧被处理之前将请求代理到后端服务器。另一方面,客户几乎不支付发送请求的费用。这在服务器和客户端之间造成了可利用的成本不对称。“
有关HTTP2快速复位的更多背景信息,请访问
CloudFlare博客
.
