谷歌、Cloudflare 和 AWS 今天披露了一个名为 HTTP/2 快速重置攻击的新零日漏洞。现实世界中出现的这种攻击依赖于 HTTP2 协议中的一个弱点,用于实施 “超体积 “分布式拒绝服务攻击。
最近几个月,Cloudflare、AWS、谷歌以及其他大型云提供商都受到了这些攻击的挑战–其中一些 DDoS 攻击现在达到了每秒 2 亿至近 4 亿次请求。谷歌云(Google Cloud)报告称,由于这种现在被称为 HTTP/2 快速重置攻击的攻击,其 RPS 达到了破纪录的 3.98 亿。
Google Cloud 博客对这一新的安全披露进行了精彩的报道。HTTP2 快速重置攻击总结如下:
“HTTP/2 协议允许客户端通过发送 RST_STREAM 帧,向服务器表明应取消之前的流。该协议不要求客户端和服务器以任何方式协调取消,客户端可以单方面取消。客户端还可以假定,当服务器收到 RST_STREAM 帧后,在处理该 TCP 连接的任何其他数据之前,取消将立即生效。
这种攻击之所以被称为快速重置,是因为它依赖于端点在发送请求帧后立即发送 RST_STREAM 帧的能力,这种能力会使另一个端点开始工作,然后快速重置请求。请求被取消,但 HTTP/2 连接仍保持开放。
…
基于这种能力的 HTTP/2 快速重置攻击非常简单: 客户端会像标准 HTTP/2 攻击一样一次性打开大量数据流,但客户端不会等待服务器或代理对每个请求流做出响应,而是会立即取消每个请求。
立即重置流的能力允许每个连接有无限数量的正在运行的请求。通过显式取消请求,攻击者永远不会超过并发打开流的数量限制。进行中请求的数量不再取决于往返时间 (RTT),而仅取决于可用网络带宽。
在典型的 HTTP/2 服务器实现中,服务器仍然需要为取消的请求执行大量工作,例如分配新的流数据结构、解析查询并进行标头解压缩以及将 URL 映射到资源。对于反向代理实现,可以在处理 RST_STREAM 帧之前将请求代理到后端服务器。另一方面,客户几乎不支付发送请求的费用。这在服务器和客户端之间造成了可利用的成本不对称。”
本文来自作者投稿,版权归原作者所有。如需转载,请注明出处:https://www.nxrte.com/zixun/35256.html
