HTTP/2 ‘Rapid Reset’ 漏洞,引发每秒可达数亿次的 DDoS 攻击

2023年 10月 12日 97.1k 0

Cloudflare 谷歌等企业发现 HTTP/2 的一个 0day 漏洞可以放大DDoS攻击,每秒可达数亿次。

互联网巨头表示,新发现的 HTTP/2 漏洞已被用来发起 DDoS 攻击,其规模远远超出了之前记录的任何一次。

HTTP/2 'Rapid Reset' 漏洞,引发每秒可达数亿次的 DDoS 攻击-1

Cloudflare、谷歌、微软和亚马逊均表示,他们成功缓解了其中两家公司在 8 月和 9 月记录的最大 DDoS 第 7 层攻击,但没有透露这些攻击是针对谁的。这些公司表示,这些攻击之所以可能发生,是因为 HTTP/2 协议中存在一个 0day 漏洞,他们将其命名为“HTTP/2 快速重置” (HTTP/2 'Rapid Reset')。

HTTP/2 允许通过单个连接同时向网站发出多个请求,从而加快页面加载速度。Cloudflare 写道,这些攻击显然涉及到一个自动循环,即向使用 HTTP/2 的网站发送并立即取消“数十万个”请求,导致服务器不堪重负并使其脱机。

谷歌记录的最严重的攻击每秒超过 3.98 亿次请求,据称这是其之前记录的任何此类攻击的七倍多。Cloudflare 在峰值时每秒处理了 2.01 亿个请求,它也称其为破纪录,而亚马逊记录的请求最少,达到了极限。每秒 1.55 亿次。微软没有透露自己的数据。

参考链接

  • https://www.theverge.com/2023/10/10/23911186/ddos-http2-vulnerability-blocked-amazon-aws-cloudflare-google-cloud
  • https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack

相关文章

塑造我成为 CTO 之路的“秘诀”
“人工智能教母”的公司估值达 10 亿美金
教授吐槽:985 高校成高级蓝翔!研究生基本废了,只为房子、票子……
Windows 蓝屏中断提醒开发者:Rust 比 C/C++ 更好
Claude 3.5 Sonnet 在伽利略幻觉指数中名列前茅
上海新增 11 款已完成登记生成式 AI 服务

发布评论