Cloudflare 于 8 月下旬开始分析攻击方法和底层漏洞。该公司表示,一个未知的威胁参与者利用了广泛使用的 HTTP/2 协议中的一个弱点来发起“巨大的、超容量的”DDoS 攻击。
Cloudflare 发现的其中一次攻击规模是该公司 2 月份报告的破纪录的每秒 7100 万次请求 (RPS) 攻击的三倍。具体来说,HTTP/2 Rapid Reset DDoS 活动的峰值达到 2.01 亿 RPS。
以谷歌为例,该公司观察到一次 DDoS 攻击,峰值可达 3.98 亿 RPS,是这家互联网巨头此前遭遇的最大规模攻击的七倍多。
8 月下旬的两天内,亚马逊遭遇了十几起 HTTP/2 快速重置攻击,最大峰值达到 1.55 亿 RPS。
新的攻击方法通过重复发送请求并立即取消它来滥用称为“流取消”的 HTTP/2 功能。
Cloudflare 解释道:“通过大规模自动化这种微不足道的‘请求、取消、请求、取消’模式,威胁参与者能够创建拒绝服务并摧毁任何运行 HTTP/2 标准实现的服务器或应用程序。”
该公司指出,针对其客户的破纪录攻击利用了仅由 20,000 台受感染设备组成的僵尸网络。该网络安全公司经常看到由数十万甚至数百万台机器驱动的僵尸网络发起的攻击。
据信该潜在漏洞会影响每个实施 HTTP/2 的 Web 服务器,该漏洞被跟踪为 CVE-2023-44487,并被赋予“高严重性”评级,CVSS 评分为 7.5。
Cloudflare和Google发布了博客文章,提供有关 HTTP/2 快速重置攻击的技术详细信息。AWS还发布了一篇博客文章,描述其观察到的 HTTP/2 快速重置攻击。
两家公司表示,他们现有的 DDoS 保护基本上能够处理 HTTP/2 快速重置,但他们已经针对这种攻击方法实施了额外的缓解措施。网络服务器软件公司已收到警告,他们已开始开发补丁来防止该漏洞被利用。
谷歌警告说:“任何向互联网提供基于 HTTP 的工作负载的企业或个人都可能面临这种攻击的风险。” “能够使用 HTTP/2 协议进行通信的服务器或代理上的 Web 应用程序、服务和 API 可能容易受到攻击。组织应验证其运行的任何支持 HTTP/2 的服务器均不易受到攻击,或应用 CVE-2023-44487 的供应商补丁来限制此攻击媒介的影响。”
