“快速重置”DDoS攻擊利用HTTP/2漏洞

谷歌、AWS和Cloudflare三家公司周二發布公告稱，它們阻止了據稱有史以來最大的DDoS攻擊。

這次攻擊是由一個新的DDoS漏洞（編號為CVE-2023-44487）引起的，涉及HTTP/2協議，用于互聯網上傳輸文件的一套標準化規則。美國國家標準與技術研究所（NIST）官網上的漏洞頁面介紹說到：“HTTP/2協議之所以允許拒絕服務（服務器資源消耗），是由于請求取消可以快速重置許多請求流。”

作為多方協調披露的一部分，谷歌云、亞馬遜網絡服務（AWS）和Cloudflare都發布了博文和公告，提供了有關這條DDoS攻擊途徑的更多技術信息。在谷歌發布的博文中稱：這家科技巨頭稱之為“迄今為止最大的DDoS攻擊，峰值時期每秒超過3.98億個請求。”

在Cloudflare的技術分析博文中寫道，它追蹤到峰值時期每秒超過2.01億個請求，幾乎是之前觀察到的創紀錄攻擊的三倍。

Cloudflare的兩名工程師Lucas Pardue和Julien Desgats說：“令人擔憂的是，攻擊者僅用2萬臺機器組成的僵尸網絡就能發動這等規模的攻擊。現在的僵尸網絡由數十萬乃至數百萬臺機器組成。考慮到整個互聯網通常每秒只出現10億到30億個請求，可想而知，使用這種方法可以將整個互聯網的請求都集中在少數目標上。”

在另一篇博文中，谷歌的兩名工程師Juho Snellman和Daniele Iamartino專門介紹了這起攻擊和攻擊途徑的工作原理。他們寫道，這次名為Rapid Reset（“快速重置”）的攻擊持續了幾個月，在8月份達到了高峰。

博文作者說道，自2021年底以來，谷歌服務遭到的大多數應用層或第7層DDoS攻擊基于HTTP/2，“無論從攻擊數量來看還是從峰值請求速率來看”。

谷歌表示，HTTP/2攻擊之所以占主導地位，是由于這種協議能夠以多路并發“流”的方式處理請求，而不是像HTTP/1.1那樣需要按順序處理請求。正因為如此，HTTP/2攻擊能夠執行的并發請求數量比利用舊協議的攻擊多得多。

就快速重置DDoS而言，攻擊客戶端“像在標準的HTTP/2攻擊中一樣，一次性打開大量的請求流，但客戶端不是等待服務器或代理對每個請求流作出響應，而是立即取消每個請求。”

更多的技術細節可以在谷歌、Cloudflare和亞馬遜的博文中找到。

谷歌認為，其負載均衡基礎設施“基本上”在其網絡的邊緣設法阻止了快速重置攻擊，防止任何中斷。亞馬遜表示，AWS在“短短幾分鐘內”確定了攻擊的性質，其CloudFront內容分發網絡自動化解了攻擊。

與此同時，Cloudflare表示，它看到了502錯誤和請求數量激增，但通過改變其技術堆棧和技術故障中詳細說明的緩解措施，迅速做出了反應。

關于緩解措施，谷歌，阻止單個請求還不夠，一旦發現濫用情況，就需要關閉整條TCP連接，更廣泛的緩解包括跟蹤分析連接統計數據以及基于各種信號為GOAWAY幀類型的內置HTTP/2緩解優先考慮連接。這三家供應商還都實施了另外的內部檢測和緩解措施。

Pardue和Desgats在Cloudflare的博文中警告，CVE-2023-44487和快速重置攻擊的風險普遍存在。他們寫道：“由于攻擊濫用了HTTP/2協議的底層弱點，我們相信任何實施了HTTP/2的供應商都將受到攻擊。這包括每一臺現代Web服務器。”

Forster說：“組織必須將事件管理、打補丁和完善安全保護措施變成一種持續的過程。針對每個漏洞變體的補丁降低了風險，但并不總是完全消除風險。在這種情況下，Cloudflare開發了專門的技術以緩解零日漏洞的影響。”