亚马逊、Cloudflare 和谷歌周二联合发布消息称,一种依赖于 HTTP/2 快速重置技术的攻击行为对它们造成了破纪录的分布式拒绝服务 (DDoS) 攻击。
根据披露的信息,该攻击自8月下旬以来便一直存在,所利用的漏洞被跟踪为CVE-2023-44487,CVSS 分数为 7.5。在针对谷歌云的攻击中,攻击峰值达到了每秒 3.98 亿次请求(RPS),而针对 AWS 和 Cloudflare 的攻击量分别超过了每秒 1.55 亿次和 2.01 亿次请求 (RPS)。
HTTP/2 快速重置是指 HTTP/2 协议中的0-Day缺陷,可被利用来执行 DDoS 攻击。简而言之,该攻击滥用 HTTP/2 的流取消功能,不断发送和取消请求,以压垮目标服务器。另一个关键方面在于此类攻击可以使用中等规模的僵尸网络来实施,据 Cloudflare 观察,该僵尸网络可容纳 2万台机器。
据W3Techs称,目前有35.6% 的网站使用 HTTP/2 。根据Web Almanac共享的数据,使用 HTTP/2 的请求百分比为 77% 。谷歌云表示,已经观察到快速重置攻击的多种变体,且比标准 HTTP/2 DDoS 攻击更有效。
缓解措施
Cloudflare 发现,HTTP/2 代理或负载均衡器特别容易受到快速发送的长字符串重置请求的影响,并最终使用了一个旨在处理超容量攻击的系统(称为“IP Jail”)来缓解这些攻击,公司已将该系统扩展到覆盖其整个基础设施。
亚马逊表示已缓解了数十起此类攻击,但没有提供有关其影响的任何详细信息,并强调其客户服务的可用性得到了维持。
受影响的三家公司都得出结论,客户应对 HTTP/2 快速重置攻击的最佳方法是使用所有可用的 HTTP 洪水防护工具,并通过多方面的缓解措施增强其 DDoS 抵御能力。
但由于这种策略滥用了 HTTP/2 协议,因此没有通用的修复方法可以完全阻止攻击者使用这种 DDoS 技术。相反,在软件中使用该协议的软件开发人员正在实施速率控制,以减轻 HTTP/2 快速重置攻击。