解道jdon.com
·
Nginx如何应付HTTP/2 快速重置攻击?
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
NGINX存在CVE-2023-44487漏洞,攻击者可利用该漏洞进行拒绝服务攻击。建议管理员更新配置文件并添加安全措施,同时重建二进制文件或更新到最新软件包。
🎯
关键要点
- 发现与HTTP/2协议相关的漏洞CVE-2023-44487,可能导致拒绝服务攻击。
- 建议立即更新NGINX配置以保护系统。
- HTTP/2协议允许客户端发起并发流,存在流重置问题。
- 攻击者可以通过快速取消大量HTTP/2流来绕过服务器的并发流限制。
- NGINX默认限制并发流数量为128,保持HTTP连接的请求数为1000。
- 如果keepalive设置过高,可能导致系统资源耗尽。
- 建议保持keepalive_requests和http2_max_concurrent_streams的默认设置。
- 推荐添加limit_conn和limit_req指令以限制单个客户端的连接和请求数量。
- 发布补丁以提高系统稳定性,建议用户重建二进制文件或更新到最新软件包。
- 补丁限制事件循环中可以引入的新流数量,以防范洪水攻击。
➡️
