探秘 HTTP/2 Rapid Reset：网络安全新挑战

HTTP/2 Rapid Reset 是一种利用 HTTP/2 协议中的弱点发起的新型分布式拒绝服务（DDoS）攻击技术。自 8 月份以来，它被积极利用作为零日漏洞，攻击规模巨大。
HTTP/2 是一种网络协议，用于在客户端和服务器之间传输超文本传输协议（HTTP）消息，主要提供更高效的数据传输和更好的性能。然而，由于在 HTTP/2 协议的流取消功能中存在一个 Rapid Reset 漏洞，攻击者可以利用该漏洞重复发送和取消请求，从而导致拒绝服务攻击。
具体来说，攻击方法滥用了 HTTP/2 的流取消功能，不断发送和取消请求，以压倒目标服务器 / 应用程序，导致拒绝服务状态。恶意行为者通过大规模自动化 “请求、取消、请求、取消” 模式，能够创建拒绝服务并摧毁任何运行 HTTP/2 标准实现的服务器或应用程序。
该漏洞被跟踪为 CVE-2023-44487，并被赋予 “高严重性” 评级，CVSS 评分为 7.5。据信该潜在漏洞会影响每个实施 HTTP/2 的 Web 服务器。
例如，Cloudflare 发现的其中一次攻击规模是其 2 月份报告的破纪录的每秒 7100 万次请求（RPS）攻击的三倍，峰值达到 2.01 亿 RPS。以谷歌为例，该公司观察到一次 DDoS 攻击，峰值可达 3.98 亿 RPS，是这家互联网巨头此前遭遇的最大规模攻击的七倍多。8 月下旬的两天内，亚马逊遭遇了十几起 HTTP/2 快速重置攻击，最大峰值达到 1.55 亿 RPS。
针对其客户的破纪录攻击利用了仅由 20,000 台受感染设备组成的僵尸网络，而通常网络安全公司经常看到由数十万甚至数百万台机器驱动的僵尸网络发起的攻击。

二、HTTP/2 Rapid Reset 的作用

1. 发起大规模 DDoS 攻击

• • Cloudflare、谷歌和 AWS 等公司均遭受了由 HTTP/2 Rapid Reset 发起的大规模 DDoS 攻击。以 Cloudflare 为例，其发现的其中一次攻击规模是该公司 2 月份报告的破纪录的每秒 7100 万次请求（RPS）攻击的三倍，峰值达到 2.01 亿 RPS。谷歌观察到的一次 DDoS 攻击峰值可达 3.98 亿 RPS，是这家互联网巨头此前遭遇的最大规模攻击的七倍多。8 月下旬的两天内，亚马逊遭遇了十几起 HTTP/2 快速重置攻击，最大峰值达到 1.55 亿 RPS。

• • 攻击利用仅由 20,000 台受感染设备组成的僵尸网络就实现了破纪录的攻击规模，而通常网络安全公司经常看到由数十万甚至数百万台机器驱动的僵尸网络发起的攻击。

2. 影响广泛

• • 潜在漏洞会影响每个实施 HTTP/2 的 Web 服务器，被赋予 “高严重性” 评级。该漏洞被跟踪为 CVE-2023-44487，CVSS 评分为 7.5。

• • 谷歌警告说任何向互联网提供基于 HTTP 的工作负载的企业或个人都可能面临这种攻击的风险。能够使用 HTTP/2 协议进行通信的服务器或代理上的 Web 应用程序、服务和 API 可能容易受到攻击。组织应验证其运行的任何支持 HTTP/2 的服务器均不易受到攻击，或应用 CVE-2023-44487 的供应商补丁来限制此攻击媒介的影响。

• • 网络服务器软件公司已收到警告，他们已开始开发补丁来防止该漏洞被利用。

三、HTTP/2 Rapid Reset 的应用场景

1. 突破服务器防护

HTTP/2 Rapid Reset 能够突破服务器防护，可绕过 HTTP/2 协议的并发流限制，迫使服务端处理超量请求，从而增强攻击效果。具体来说，攻击者通过大规模发送应用层请求并快速重置，让服务端接收到请求后对应的流快速进入 “Closed” 状态，最终并发流数量限制被绕过，服务端无法忽略超量的流，造成资源被大量消耗。然而，这种快速重置的方式无法绕过 NGINX 的 keepalive_requests，攻击威力视服务端配置而定。例如，NGINX 将默认的并发流地数量限制为 128，为最多 1000 个请求保持 HTTP 连接。如果攻击者企图创建更多连接来绕过这一限制，标准四层监控和警报工具就会发出告警。但如果 NGINX 配置的 keepalive 数量明显高于默认和推荐设置，攻击可能会耗尽系统资源。

2. 对不同场景的影响

在 HTTP/2 Server 和 HTTP2 Proxy 场景下，HTTP/2 Rapid Reset 的威力有所不同，对反向代理集群也有特定影响。
在 HTTP/2 Server 场景下，H2 Rapid Reset DDoS 威力略弱于一般的 H2 应用层 DDoS，这是因为快速 Reset 后 NGINX 马上终止了对攻击请求的处理，“节省” 了服务端资源。
在 HTTP2 Proxy 场景下，H2 Proxy 对一般的 H2 应用层 DDoS 的抗压能力最差，这是由于 H2 Proxy 既要处理客户端请求，又要处理源站应答。而 H2 Rapid Reset DDoS 的快速 “撤回” 请求，无需 Proxy 过多处理，反而降低了 H2 Rapid Reset DDoS 对 H2 Proxy 的压力。同时，H2 Proxy 的回源协议版本对应用层攻击的抗压能力影响不大。
此外，H2 Rapid Reset DDoS 可阻塞反向代理集群中 TLS decryption-> 上层应用的通道，从而瘫痪代理对外服务能力。经过反向代理后，会转化成对源站的 SYN + RST 的四层 DDoS，在特定场景甚至可转换成 TCP connection Flood。相比一般的应用层 DDoS，H2 Rapid Reset DDoS 能够节省攻击端的下行带宽，为攻击者带来 “降本增效”。

四、如何实现 HTTP/2 Rapid Reset

以 Cisco Expressway 为例，介绍如何实现 HTTP/2 Rapid Reset：

1. 使用 SCP 客户端访问 expressway 文件系统（使用根凭据），位置为 /tandberg/trafficserver/etc/。

2. 创建文件的备份并保存到 PC 上，然后打开原始文件。

3. 在记事本中打开文件，搜索字符串 “CONFIG proxy.config.http.server_ports STRING 8443”，会看到突出显示的行：

##############################################################################
CONFIG proxy.config.http.server_ports STRING 8443:ssl
CONFIG proxy.config.http.connect_ports STRING NULL
##############################################################################

4. 修改行：CONFIG proxy.config.http.server_ports STRING 8443:proto=http:ssl 8443:proto=http:ssl:ipv6。

5. 保存文件并使用 WinSCP 将其上传到 expressway 中的同一位置，即 /tandberg/trafficserver/etc/。

6. 现在，使用根凭证登录到 Expressway CLI，然后使用命令 /etc/init.d/trafficserver restart 重新启动 “Traffic Server”。但需注意，系统重新启动会将配置恢复为默认值，更改将丢失。

此文档将在更多信息可用时进一步更新。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。