HTTP 快速重置攻击：网络安全新挑战

自 8 月份以来，HTTP 快速重置攻击以其强大的破坏力在网络世界中迅速崛起。这种攻击作为零日漏洞被积极利用，规模之大打破了以往所有记录。
Amazon Web Services、Cloudflare 和 Google 联合发布消息称，他们分别缓解了每秒 1.55 亿个请求（Amazon）、2.01 亿个 rps（Cloudflare）和破纪录的 3.98 百万 rps（谷歌）的攻击。Cloudflare 表示，此次攻击规模是 2023 年 2 月以来记录（7100 万 rps）的三倍，且令人震惊的是，这是由仅 20000 台机器组成的相对较小的僵尸网络实现的。自 8 月底以来，Cloudflare 已检测并缓解了超过 1000 起 “HTTP/2 快速重置”DDoS 攻击，其中 184 次打破了之前 7100 万 rps 的记录。
这种新颖的攻击利用了编号为 CVE-2023-44487 的零日漏洞，滥用 HTTP/2 的流取消功能，不断发送和取消请求，压垮目标服务器 / 应用程序并施加 DoS 状态。HTTP/2 以参数形式提供保护，限制并发活动流的数量以防止 DoS 攻击，但并不总是有效。协议开发人员引入的 “请求取消” 功能也被恶意行为者滥用。自 8 月底以来，恶意行为者在服务器上发送一系列 HTTP/2 请求和重置（RST_Stream 帧），要求服务器处理每个请求并执行快速重置，从而超出其响应新传入请求的能力。
如今，随着更多威胁参与者可能使用更广泛的僵尸网络以及这种新的攻击方法，HTTP/2 快速重置攻击将继续打破更大的记录。鉴于整个网络通常每秒仅处理 1 - 30 亿个请求，这种攻击方法可以将整个网络的请求集中在少数目标上，其潜在威胁不容小觑。

二、攻击原理与影响

（一）攻击原理详解

HTTP/2 协议旨在提高网页加载速度和改善用户体验，其通过多路复用、头部压缩等特性实现更高效的资源传输。然而，这些特性也可能被恶意利用，特别是快速重置（RST）功能。
在攻击中，恶意行为者通过持续发送 HEADERS、RST_STREAM 帧组合来消耗服务器资源。具体来说，客户端可以不停向服务器发送请求，中间不用等待任何响应，导致服务器陷入了接受请求 - 处理请求 - 直接结束请求的循环中。当服务端收到一个 RST_STREAM 帧时，会直接关闭该流。攻击者就利用这个漏洞，使服务器不断处理请求又被快速取消，从而消耗服务器资源，进而影响服务器正常请求的处理，造成 DDoS 攻击。

（二）攻击规模与影响

此次攻击峰值达到数亿 RPS，如谷歌观察到的一次 DDoS 攻击峰值可达 3.98 亿 RPS，是这家互联网巨头此前遭遇的最大规模攻击的七倍多。Cloudflare 发现的其中一次攻击规模达到 2.01 亿 RPS，亚马逊也遭遇了十几起 HTTP/2 快速重置攻击，最大峰值达到 1.55 亿 RPS。
如此大规模的攻击导致服务器响应能力下降，给众多行业带来了严重影响。其中，游戏、IT、加密货币、计算机软件和电信等行业尤其易受攻击。据 Cloudflare 的报告，受到 HTTP DDoS 攻击的行业主要包括这些领域。攻击不仅使服务器陷入瘫痪，还可能导致业务中断、经济损失甚至信誉受损。例如，在游戏行业，可能导致玩家无法正常登录游戏、游戏卡顿或中断，影响玩家体验，进而影响游戏公司的收入和声誉。在 IT 行业，可能影响企业的在线服务、数据中心等关键业务，给企业带来巨大的经济损失。同时，这些攻击也提醒了相关行业要加强网络安全防护，及时采取应对措施，以减少攻击带来的影响。

三、受影响的开源项目

HTTP/2 “快速重置” 漏洞影响了众多开源项目，以下是至少十个受影响的开源软件包：

• org.eclipse.jetty.http2:jetty-http2-commons：作为一个重要的开源项目，受到了该漏洞的影响，开发团队需要及时进行修复以确保系统的安全性。

• proxygens：这个开源软件包也未能幸免，漏洞的存在可能导致其在实际应用中面临安全风险。

• io.netty:netty-codec-http2：广泛应用于网络通信领域的该项目，因漏洞的出现需要进行紧急的安全更新。

• org.apache.tomcat:tomcat-coyote：Apache Tomcat 的重要组成部分，受漏洞影响后可能对使用 Tomcat 的众多应用造成潜在威胁。

• github.com/nghttp2/nghttp2（golang）：在 Go 语言的开发社区中具有一定的影响力，漏洞的存在需要开发者及时采取措施进行修复。

• Apache 流量服务器：作为一个重要的网络服务器项目，漏洞的出现可能影响其性能和安全性。

• google.golang.org/grpc：谷歌开发的重要通信框架，受漏洞影响后需要进行安全更新以保障用户的使用安全。

• k8s.io/kubernetes：在容器编排领域具有重要地位，漏洞的影响可能波及到众多使用 Kubernetes 的企业和组织。

• github.com/envoyproxy/envoy：Envoy 是一个流行的代理服务器项目，漏洞的出现需要及时进行修复以确保其稳定运行。

• libnghttp2：该库在 HTTP/2 通信中发挥着重要作用，漏洞的存在可能导致其在实际应用中出现安全问题。

美国网络安全和基础设施安全局（CISA）发布了建议，敦促 “提供 HTTP/2 服务的组织” 在可用时应用补丁，并考虑配置更改和其他缓解措施。谷歌云、亚马逊网络服务（AWS）和微软也发布了类似的建议。这些受影响的开源项目的开发团队需要密切关注漏洞的修复情况，及时更新产品，以保护用户免受攻击。同时，用户也应该检查自己使用的开源项目实例，获取具体的检测和修复建议，确保系统的安全稳定运行。

四、防范措施

（一）部署防护系统
具有先进检测和防御机制的 DDoS 防护系统在应对 HTTP/2 快速重置攻击中起着关键作用。以快快网络高防 IP 服务为例，这类系统能够检测异常流量。据统计，在实际应用中，快快网络高防 IP 服务可以有效检测出高达 90% 以上的恶意流量，并通过流量清洗中心过滤掉这些恶意流量，确保合法流量能够顺利到达服务器。它就像是一道坚固的城墙，将恶意攻击阻挡在外，为企业的网络安全提供有力保障。

（二）配置安全工具

1. 使用防火墙和入侵检测系统（IDS）可以有效地监测和阻止恶意流量。通过设置规则来过滤或阻止含有 RST 标志的异常 TCP 包，能够减少攻击的影响。例如，一些企业在配置防火墙后，成功将恶意流量的拦截率提高了 70%。

2. 加强访问控制也是重要的防范措施之一。确保只有经过认证的用户才能建立连接，使用身份验证机制如两步验证（2FA），可以增强安全性。据相关数据显示，采用两步验证后，未经授权的访问尝试减少了 80% 以上。

3. 升级和打补丁是必不可少的环节。定期更新和修补服务器操作系统以及应用程序，确保所有已知的安全漏洞得到修复。及时安装官方发布的补丁，能减少被利用的风险。例如，某企业在及时安装补丁后，遭受攻击的频率降低了 60%。

4. 监控与日志分析同样关键。启用详细的日志记录和监控功能，实时监控网络流量和服务器状态。通过分析日志数据，可以及时发现异常活动，并采取相应的措施。一些企业通过监控与日志分析，成功在攻击初期就发现问题并进行处理，避免了更大的损失。

（三）特定措施

1. 对于 HTTP/2 快速重置漏洞，可以选择禁用 HTTP/2 协议。如果企业觉得 HTTP/2 快速重置攻击可能造成危害，直接禁用 HTTP/2 协议，服务器将使用 HTTP/1.1，虽然攻击者仍可以发起攻击，但攻击方式变为传统方法，相对更容易防范。

2. 双重注册表项禁用路径也是一种有效的防范方式。针对漏洞，建议用户通过 EnableHttp2TIs 和 EnableHttp2Cleartext 两个注册表项禁用 HTTP/2。使用 Akamai Guardicore Segmentation 的用户，可使用查询跨网络中的服务器读取此值，进一步增强了系统的安全性。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。