史上最大应用层DDoS攻击: H2 Rapid Reset攻击研究
💡
原文中文,约5500字,阅读约需13分钟。
📝
内容提要
2023年10月,Cloudflare、Google、AWS等厂商公布了一种新型应用层DDoS攻击——H2 Rapid Reset DDoS(CVE-2023-44487)。该攻击利用HTTP/2的重置机制,绕过服务端并发流限制,造成资源消耗。火山引擎网络安全团队对此进行了研究,并推出了防护补丁。测试表明,该攻击对CPU压力略小于常规DDoS,但能节省攻击端下行带宽,对反向代理和源站均有威胁。火山引擎推荐使用高防产品以提供更强的防护。
🎯
关键要点
- 2023年10月,Cloudflare、Google、AWS等厂商公布H2 Rapid Reset DDoS攻击,利用HTTP/2重置机制。
- H2 Rapid Reset DDoS攻击可绕过HTTP/2的并发流限制,迫使服务端处理超量请求。
- 该攻击对服务端CPU压力略小于常规DDoS,但仍具有一定威力。
- H2 Rapid Reset DDoS可阻塞反向代理集群中的TLS解密通道,影响正常服务。
- 经过反向代理后,H2 Rapid Reset DDoS会转化为对源站的SYN + RST四层DDoS。
- 该攻击方式能节省攻击端的下行带宽,为攻击者带来成本优势。
- 火山引擎已推出H2 Rapid Reset DDoS的防护补丁,建议使用高防产品以增强防护能力。
- HTTP/2通过多路复用提升访问效率,但也增加了被利用的风险。
- H2 Rapid Reset DDoS的攻击效果依赖于服务端配置,NGINX对该攻击有一定抵御能力。
- 火山引擎的测试表明,H2 Rapid Reset DDoS在特定场景下对源站仍有压力,可能转化为TCP连接洪水攻击。
🏷️
标签
➡️
