據(jù)外媒報(bào)道，Cloudflare、谷歌和 AWS 周二透露，惡意行為者已利用名為“HTTP/2 Rapid Reset”的新零日漏洞發(fā)起互聯(lián)網(wǎng)歷史上最大規(guī)模的分布式拒絕服務(wù) (DDoS) 攻擊。

Cloudflare 于 8 月下旬開始分析攻擊方法和底層漏洞。該公司表示，一個(gè)未知的威脅參與者利用了廣泛使用的 HTTP/2 協(xié)議中的一個(gè)弱點(diǎn)來發(fā)起“巨大的、超容量的”DDoS 攻擊。 

Cloudflare 發(fā)現(xiàn)的其中一次攻擊規(guī)模是該公司 2 月份報(bào)告的破紀(jì)錄的每秒 7100 萬次請(qǐng)求 (RPS) 攻擊的三倍。具體來說，HTTP/2 Rapid Reset DDoS 活動(dòng)的峰值達(dá)到 2.01 億 RPS。 

以谷歌為例，該公司觀察到一次 DDoS 攻擊，峰值可達(dá) 3.98 億 RPS，是這家互聯(lián)網(wǎng)巨頭此前遭遇的最大規(guī)模攻擊的七倍多。 

8 月下旬的兩天內(nèi)，亞馬遜遭遇了十幾起 HTTP/2 快速重置攻擊，最大峰值達(dá)到 1.55 億 RPS。 

新的攻擊方法通過重復(fù)發(fā)送請(qǐng)求并立即取消它來濫用稱為“流取消”的 HTTP/2 功能。 

Cloudflare 解釋道：“通過大規(guī)模自動(dòng)化這種微不足道的‘請(qǐng)求、取消、請(qǐng)求、取消’模式，威脅參與者能夠創(chuàng)建拒絕服務(wù)并摧毀任何運(yùn)行 HTTP/2 標(biāo)準(zhǔn)實(shí)現(xiàn)的服務(wù)器或應(yīng)用程序?！?/p>

該公司指出，針對(duì)其客戶的破紀(jì)錄攻擊利用了僅由 20,000 臺(tái)受感染設(shè)備組成的僵尸網(wǎng)絡(luò)。該網(wǎng)絡(luò)安全公司經(jīng)常看到由數(shù)十萬甚至數(shù)百萬臺(tái)機(jī)器驅(qū)動(dòng)的僵尸網(wǎng)絡(luò)發(fā)起的攻擊。

據(jù)信該潛在漏洞會(huì)影響每個(gè)實(shí)施 HTTP/2 的 Web 服務(wù)器，該漏洞被跟蹤為 CVE-2023-44487，并被賦予“高嚴(yán)重性”評(píng)級(jí)，CVSS 評(píng)分為 7.5。

Cloudflare和Google發(fā)布了博客文章，提供有關(guān) HTTP/2 快速重置攻擊的技術(shù)詳細(xì)信息。AWS還發(fā)布了一篇博客文章，描述其觀察到的 HTTP/2 快速重置攻擊。 

兩家公司表示，他們現(xiàn)有的 DDoS 保護(hù)基本上能夠處理 HTTP/2 快速重置，但他們已經(jīng)針對(duì)這種攻擊方法實(shí)施了額外的緩解措施。網(wǎng)絡(luò)服務(wù)器軟件公司已收到警告，他們已開始開發(fā)補(bǔ)丁來防止該漏洞被利用。 

谷歌警告說：“任何向互聯(lián)網(wǎng)提供基于 HTTP 的工作負(fù)載的企業(yè)或個(gè)人都可能面臨這種攻擊的風(fēng)險(xiǎn)?！?nbsp;“能夠使用 HTTP/2 協(xié)議進(jìn)行通信的服務(wù)器或代理上的 Web 應(yīng)用程序、服務(wù)和 API 可能容易受到攻擊。組織應(yīng)驗(yàn)證其運(yùn)行的任何支持 HTTP/2 的服務(wù)器均不易受到攻擊，或應(yīng)用 CVE-2023-44487 的供應(yīng)商補(bǔ)丁來限制此攻擊媒介的影響?！?/p>