导语
最近,一种名为“HTTP/2 Rapid Reset”的DDoS(分布式拒绝服务)攻击技术成为了热门话题,该技术自8月份以来被积极利用作为零日漏洞,打破了以往的攻击记录。亚马逊网络服务(Amazon Web Services)、Cloudflare和谷歌等公司联合宣布,他们成功阻止了每秒达到1.55亿次(亚马逊)、2.01亿次(Cloudflare)和创纪录的3.98亿次(谷歌)的攻击请求。谷歌表示,他们通过在网络边缘增加容量来应对这些新型攻击。Cloudflare评论称,他们所抵御的攻击规模是其2013年2月创纪录攻击规模(7100万次)的三倍,而且这是使用仅由2万台机器组成的相对较小的僵尸网络实现的,令人震惊。自8月底以来,Cloudflare已经检测和阻止了一千多次超过1000万次每秒的“HTTP/2 Rapid Reset”DDoS攻击,其中184次打破了之前的7100万次每秒记录。Cloudflare相信,随着更多的威胁行为者使用规模更大的僵尸网络以及这种新的攻击方法,HTTP/2 Rapid Reset攻击将继续打破更多的记录。Cloudflare评论道:“现在有的僵尸网络由几十万甚至数百万台机器组成。考虑到整个网络通常每秒只处理10亿到30亿次请求,使用这种方法将整个网络的请求集中在少数几个目标上并非不可想象。”
攻击规模创新高
攻击规模之大令人震惊。亚马逊、Cloudflare和谷歌等公司宣布,他们成功应对了一种名为“HTTP/2 Rapid Reset”的DDoS攻击技术,该技术自8月份以来被积极利用作为零日漏洞。亚马逊表示,他们成功阻止了每秒1.55亿次的攻击请求。Cloudflare的阻止数量更多,达到了每秒2.01亿次,而谷歌则创下了3.98亿次的记录。这些攻击规模远远超过以往的攻击,显示了这种新型攻击技术的威力。
攻击原理解析
这种新型攻击技术利用了一个被追踪为CVE-2023-44487的零日漏洞,该漏洞滥用了HTTP/2协议中的一个弱点。简单来说,攻击方法滥用了HTTP/2的流取消功能,不断发送和取消请求,以压倒目标服务器/应用程序,导致拒绝服务状态。HTTP/2协议具有一种保护机制,即限制并发活动流的数量,以防止拒绝服务攻击;然而,这并不总是有效。协议开发人员引入了一种更有效的措施,称为“请求取消”,它不会终止整个连接,但可以被滥用。自8月底以来,恶意行为者一直在滥用这个功能,向服务器发送大量的HTTP/2请求和重置(RST_Stream帧),要求服务器处理每个请求并执行快速重置,从而超出其响应新请求的能力。
Cloudflare解释称,HTTP/2代理或负载均衡器特别容易受到快速发送的重置请求的影响。在TLS代理和上游对等点之间,该公司的网络被压垮,因此坏请求在达到阻止点之前就已经造成了损害。从实际影响来看,这些攻击导致Cloudflare的客户报告的502错误数量增加。Cloudflare表示,他们最终使用一种名为“IP Jail”的处理超大容量攻击的系统来应对这些攻击,该系统已扩展到其整个基础设施。该系统会“监禁”有问题的IP地址,并在一段时间内禁止其在任何Cloudflare域中使用HTTP/2,同时对与被禁止IP地址共享的合法用户产生轻微的性能下降。
防范措施
三家公司一致认为,客户在应对“HTTP/2 Rapid Reset”攻击时应使用所有可用的HTTP洪水防护工具,并通过多方面的缓解措施增强他们的DDoS韧性。遗憾的是,由于这种攻击滥用了HTTP/2协议,没有一种通用的解决方案可以完全阻止攻击者使用这种DDoS技术。相反,使用该协议的软件开发人员正在实施速率控制来缓解“HTTP/2 Rapid Reset”攻击。Cloudflare在另一篇文章中解释说,他们不得不保密这个零日漏洞一个多月,以便安全厂商和利益相关者有时间应对这个威胁,然后再向更多的威胁行为者公开,以避免“猫鼠游戏”的开始。
总结
“HTTP/2 Rapid Reset”零日攻击技术的出现打破了DDoS攻击的记录,亚马逊、Cloudflare和谷歌等公司成功应对了这种规模庞大的攻击。攻击利用了HTTP/2协议的一个弱点,通过不断发送和取消请求来压倒目标服务器,导致拒绝服务状态。尽管目前没有一种通用的解决方案可以完全阻止这种攻击,但使用该协议的软件开发人员正在采取措施来缓解其影响。对于客户来说,使用所有可用的防护工具,并加强DDoS韧性是应对这种攻击的最佳方法。希望在安全厂商和利益相关者的共同努力下,能够尽快找到更好的解决方案来应对这种新型DDoS攻击。