據(jù)外媒報道，Cloudflare、谷歌和 AWS 周二透露，惡意行為者已利用名為“HTTP/2 Rapid Reset”的新零日漏洞發(fā)起互聯(lián)網(wǎng)歷史上最大規(guī)模的分布式拒絕服務(wù) (DDoS) 攻擊。

Cloudflare 于 8 月下旬開始分析攻擊方法和底層漏洞。該公司表示，一個未知的威脅參與者利用了廣泛使用的 HTTP/2 協(xié)議中的一個弱點來發(fā)起“巨大的、超容量的”DDoS 攻擊。 

Cloudflare 發(fā)現(xiàn)的其中一次攻擊規(guī)模是該公司 2 月份報告的破紀(jì)錄的每秒 7100 萬次請求 (RPS) 攻擊的三倍。具體來說，HTTP/2 Rapid Reset DDoS 活動的峰值達(dá)到 2.01 億 RPS。 

以谷歌為例，該公司觀察到一次 DDoS 攻擊，峰值可達(dá) 3.98 億 RPS，是這家互聯(lián)網(wǎng)巨頭此前遭遇的最大規(guī)模攻擊的七倍多。 

8 月下旬的兩天內(nèi)，亞馬遜遭遇了十幾起 HTTP/2 快速重置攻擊，最大峰值達(dá)到 1.55 億 RPS。 

新的攻擊方法通過重復(fù)發(fā)送請求并立即取消它來濫用稱為“流取消”的 HTTP/2 功能。 

Cloudflare 解釋道：“通過大規(guī)模自動化這種微不足道的‘請求、取消、請求、取消’模式，威脅參與者能夠創(chuàng)建拒絕服務(wù)并摧毀任何運行 HTTP/2 標(biāo)準(zhǔn)實現(xiàn)的服務(wù)器或應(yīng)用程序?！?/p>

該公司指出，針對其客戶的破紀(jì)錄攻擊利用了僅由 20,000 臺受感染設(shè)備組成的僵尸網(wǎng)絡(luò)。該網(wǎng)絡(luò)安全公司經(jīng)?？吹接蓴?shù)十萬甚至數(shù)百萬臺機器驅(qū)動的僵尸網(wǎng)絡(luò)發(fā)起的攻擊。

據(jù)信該潛在漏洞會影響每個實施 HTTP/2 的 Web 服務(wù)器，該漏洞被跟蹤為 CVE-2023-44487，并被賦予“高嚴(yán)重性”評級，CVSS 評分為 7.5。

Cloudflare和Google發(fā)布了博客文章，提供有關(guān) HTTP/2 快速重置攻擊的技術(shù)詳細(xì)信息。AWS還發(fā)布了一篇博客文章，描述其觀察到的 HTTP/2 快速重置攻擊。 

兩家公司表示，他們現(xiàn)有的 DDoS 保護基本上能夠處理 HTTP/2 快速重置，但他們已經(jīng)針對這種攻擊方法實施了額外的緩解措施。網(wǎng)絡(luò)服務(wù)器軟件公司已收到警告，他們已開始開發(fā)補丁來防止該漏洞被利用。 

谷歌警告說：“任何向互聯(lián)網(wǎng)提供基于 HTTP 的工作負(fù)載的企業(yè)或個人都可能面臨這種攻擊的風(fēng)險?！?nbsp;“能夠使用 HTTP/2 協(xié)議進(jìn)行通信的服務(wù)器或代理上的 Web 應(yīng)用程序、服務(wù)和 API 可能容易受到攻擊。組織應(yīng)驗證其運行的任何支持 HTTP/2 的服務(wù)器均不易受到攻擊，或應(yīng)用 CVE-2023-44487 的供應(yīng)商補丁來限制此攻擊媒介的影響?！?/p>