一种新形式的DDOS攻击的详细信息,它需要相对较少的资源来发起前所未有的规模的攻击,这对网站来说是一个明显的危险,因为服务器软件公司竞相发布补丁来抵御它。
漏洞利用了HTTP/2和HTTP/3网络协议,允许多个数据流进出服务器和浏览器。这意味着浏览器可以从服务器请求多个资源并将它们全部返回,而不必等待每个资源一次下载一个。Cloudflare、亚马逊网络服务(AWS)和谷歌公开宣布的这个漏洞被称为HTTP/2快速重置。绝大多数现代web服务器使用HTTP/2网络协议。因为目前没有修补HTTP/2安全漏洞的软件补丁,这意味着实际上每台服务器都是易受攻击的。
“零日漏洞”是一种新的且无法缓解的漏洞,称为“零日漏洞”。好消息是服务器软件公司正在开发补丁来关闭HTTP/2的弱点。HTTP/2网络协议有一个服务器设置,允许在任何给定的时间设置一定数量的请求。
超过该数字的请求被拒绝。HTTP/2协议的另一个特性允许取消请求,这将数据流从预设的请求限制中移除。这是一件好事,因为它释放了服务器来处理另一个数据流。然而,攻击者发现,有可能向服务器发送数百万(是的,数百万)请求和取消,并使其不堪重负。HTTP/2快速重置有多糟糕?
HTTP/2快速重置漏洞是非常糟糕的,因为服务器目前没有防御它。Cloudflare指出,它已经阻止了一次DDOS攻击,其规模比历史上最大的DDOS攻击大300%。他们阻止的最大请求超过了每秒2.01亿个请求(RPS)。Google报告了一次超过3.98亿RPS的DDOS攻击。
但这还不是这个漏洞的全部程度。使这个漏洞更糟糕的是,它只需要相对少量的资源就可以发起攻击。这种规模的DDOS攻击通常需要数十万到数百万台受感染的计算机(称为僵尸网络)才能发动这种规模的攻击。HTTP/2快速重置漏洞只需2万台受感染的计算机就能发动攻击,其规模是有史以来最大的DDOS攻击的三倍。这意味着黑客获得发动毁灭性DDOS攻击的能力的门槛要低得多。如何防止HTTP/2快速重置?
服务器软件发布者目前正在努力发布补丁来关闭HTTP/2漏洞。Cloudflare的客户目前受到保护,不必担心。Cloudflare建议,在最坏的情况下,如果服务器受到攻击且毫无防御能力,服务器管理员可以将HTTP网络协议降级为HTTP/1.1。降级网络协议将阻止黑客继续他们的攻击,但服务器性能可能会减慢(这至少比离线要好)。