The Cloudflare Blog
·
Go与保持冷静:解决HTTP/2互操作性问题
💡
原文英文,约1700词,阅读约需7分钟。
📝
内容提要
2025年9月,内部工程团队讨论了HTTP/2客户端发送错误代码ENHANCE_YOUR_CALM的问题。文章分析了HTTP/2的攻击及防御,特别是PING洪水攻击。通过日志分析,发现客户端在未读取响应体时频繁发送RST_STREAM和PING帧,导致连接关闭。建议在Go中始终读取HTTP/2响应体,以避免不必要的帧发送。
🎯
关键要点
- 2025年9月,内部工程团队讨论HTTP/2客户端发送错误代码ENHANCE_YOUR_CALM的问题。
- 文章分析了HTTP/2的攻击及防御,特别是PING洪水攻击。
- HTTP/2定义了用于编码HTTP语义的二进制传输格式,包含多种帧类型。
- HTTP/2的强大功能可能被误用,实施者应监控这些功能的使用以防止拒绝服务攻击。
- Cloudflare实施了多种HTTP/2防御措施,以保护系统和客户。
- CVE-2019-9512是一个常见的攻击,攻击者通过持续发送PING帧导致对端消耗过多资源。
- 内部微服务之间的通信通过Cloudflare边缘进行,提供了多种优势。
- 通过日志分析,发现客户端在未读取响应体时频繁发送RST_STREAM和PING帧。
- 建议在Go中始终读取HTTP/2响应体,以避免不必要的帧发送。
- 在处理HTTP/2时,确保响应体始终被读取可能会有些不直观,需注意实现细节。
- 如果遇到ENHANCE_YOUR_CALM错误,建议使用数据包捕获和详细日志记录来确认问题。
❓
延伸问答
HTTP/2中的ENHANCE_YOUR_CALM错误是什么?
ENHANCE_YOUR_CALM错误是HTTP/2协议中用于关闭连接的错误代码,通常表示客户端行为被认为是恶意的。
如何避免在Go中发送不必要的RST_STREAM和PING帧?
在Go中,建议始终读取HTTP/2响应体,即使响应体为空,以避免发送不必要的RST_STREAM和PING帧。
CVE-2019-9512攻击是什么?
CVE-2019-9512攻击,也称为PING洪水攻击,攻击者通过持续发送PING帧导致对端消耗过多资源。
Cloudflare是如何防御HTTP/2攻击的?
Cloudflare实施了多种HTTP/2防御措施,包括在检测到恶意客户端行为时关闭连接并返回ENHANCE_YOUR_CALM错误代码。
在处理HTTP/2时,为什么需要监控功能的使用?
监控功能的使用可以防止拒绝服务攻击,确保实现不会被误用,从而保护系统的稳定性。
如何确认HTTP/2客户端的连接关闭问题?
可以通过数据包捕获和详细日志记录来确认问题,寻找频繁或重复的帧模式,以识别是否类似于恶意流量。
➡️
