The Cloudflare Blog
·
HTTP/2 Rapid Reset: Disabling Record-Breaking Attacks
💡
原文日文,约12900字,阅读约需31分钟。
📝
内容提要
Cloudflare在HTTP/2协议中遭受Rapid Reset攻击,导致服务器资源消耗过度,出现502 Bad Gateway错误。Cloudflare将最大同步执行数从64增加到100以解决Web页面的相互運用性问题。
🎯
关键要点
-
Cloudflare在2023年8月25日后遭遇了大规模的HTTP攻击,攻击规模是历史上最大攻击的三倍。
-
攻击者仅使用2万台机器人网络就能发起攻击,显示出其高效性。
-
Cloudflare的自动DDoS系统成功检测并缓解了这些攻击,最初对客户流量有轻微影响,但后续改进后完全阻止了攻击。
-
攻击利用了HTTP/2协议的某些功能和服务器实现的细节,所有实现HTTP/2的供应商都可能受到影响。
-
Cloudflare与Google和AWS合作,向受影响的供应商和基础设施提供商共享攻击信息。
-
HTTP/2协议的设计允许高效的多路复用,但也可能导致服务器资源的过度消耗。
-
Cloudflare在应对CVE-2023-44487漏洞时,将最大并发流数从64增加到100,以解决Web页面的互操作性问题。
-
攻击导致502 Bad Gateway错误的增加,尤其是在最受影响的数据中心。
-
Cloudflare实施了多项改进措施,包括监控RST_STREAM帧和优化请求调度,以提高系统的响应能力。
-
Cloudflare的IP Jail系统有效阻止了参与攻击的IP,减少了502错误的发生。
-
Cloudflare继续致力于提高可观测性,以便更快地发现协议滥用并增强DDoS缓解能力。
➡️
