《警惕！HTTP/2 Rapid Reset 漏洞来袭》

HTTP/2 Rapid Reset 漏洞是存在于 HTTP/2 协议流取消功能中的拒绝服务漏洞。具体来说，HTTP/2 协议允许客户端通过发送 RST_STREAM 帧来指示服务器应该取消之前的流，攻击者可利用该协议允许客户端单方面请求取消的特性，进行快速重置攻击。
网络安全研究员 Bartek Nowotarski 于 1 月 25 日报告，发现 HTTP/2 协议中存在一个高危漏洞，黑客利用该漏洞可以发起拒绝服务（DoS）攻击。该漏洞主要利用 HTTP/2 的配置不当实现，主要是未能限制或净化请求数据流中的 CONTINUATION 帧。当服务器收到一个特定的 END_HEADERS 标志，表明没有其他 CONTINUATION 或其他帧时，先前分割的报头块就被视为已完成。如果 HTTP/2 实现不限制单个数据流中可发送的 CONTINUATION 帧的数量，就很容易受到攻击。攻击者开始向未设置 END_HEADERS 标志的易受攻击服务器发送 HTTP 请求，该请求将允许攻击者向该服务器持续发送 CONTINUATION 帧流，最终导致服务器内存不足而崩溃，并导致成功发起拒绝服务 (DoS) 攻击。
2023 年 10 月 14 日，深信服安全团队监测到一则 HTTP/2 协议存在拒绝服务漏洞的信息，漏洞编号：CVE-2023-44487，漏洞威胁等级：高危。攻击者利用此漏洞可以针对 HTTP/2 服务器发起 DDoS 攻击，使用 HEADERS 和 RST_STREAM 发送一组 HTTP 请求，并重复此模式在目标 HTTP/2 服务器上生成大量流量。通过在单个连接中打包多个 HEADERS 和 RST_STREAM 帧，导致每秒请求量显著增加，最终导致目标服务器资源耗尽，造成服务器拒绝服务。
目前该漏洞已被在野利用，风险等级高。据信该潜在漏洞会影响每个实施 HTTP/2 的 Web 服务器，该漏洞被跟踪为 CVE-2023-44487，并被赋予 “高严重性” 评级，CVSS 评分为 7.5。
Cloudflare、谷歌和 AWS 周二透露，恶意行为者已利用名为 “HTTP/2 Rapid Reset” 的新零日漏洞发起互联网历史上最大规模的分布式拒绝服务 (DDoS) 攻击。Cloudflare 于 8 月下旬开始分析攻击方法和底层漏洞。一个未知的威胁参与者利用了广泛使用的 HTTP/2 协议中的一个弱点来发起 “巨大的、超容量的”DDoS 攻击。Cloudflare 发现的其中一次攻击规模是该公司 2 月份报告的破纪录的每秒 7100 万次请求 (RPS) 攻击的三倍。具体来说，HTTP/2 Rapid Reset DDoS 活动的峰值达到 2.01 亿 RPS。以谷歌为例，该公司观察到一次 DDoS 攻击，峰值可达 3.98 亿 RPS，是这家互联网巨头此前遭遇的最大规模攻击的七倍多。8 月下旬的两天内，亚马逊遭遇了十几起 HTTP/2 快速重置攻击，最大峰值达到 1.55 亿 RPS。新的攻击方法通过重复发送请求并立即取消它来滥用称为 “流取消” 的 HTTP/2 功能。
腾讯云安全中心、信息网络中心等也监测到 HTTP/2 协议被披露存在 Rapid Reset 拒绝服务漏洞，漏洞编号 CVE-2023-44487。可导致业务被拒绝服务攻击等危害。
影响版本广泛，包括但不限于 Netty、Go、Apache Tomcat、grpc-go、jetty、nghttp2、Apache Traffic Server 等组件。目前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本，同时在升级前做好数据备份工作，避免出现意外。

二、有哪些影响

1. 业务被拒绝服务攻击等危害，可能使服务器超载，导致服务器 CPU 占用率激增，拒绝为合法客户提供服务。

• • 例如，利用 HTTP/2 Rapid Reset 漏洞进行攻击时，攻击者通过快速启动和取消大量 HTTP/2 数据流，绕过服务器对并发流的最大值限制，使服务器超载。NGINX 在异常高的 keepalive 限值下可能会遭受此类攻击，导致服务器 CPU 占用率激增，从而拒绝为合法客户提供服务。

• • 在 H2 Rapid Reset DDoS 攻击中，不管是在 HTTP/2 Server 还是 HTTP2 Proxy 场景下，虽然威力略弱于一般的 H2 应用层 DDoS，但仍可能使服务器资源被大量消耗，影响正常业务。

2. 影响广泛使用 HTTP/2 协议的组件，如 Netty、Go、Apache Tomcat 等。

• • HTTP/2 Rapid Reset 漏洞广泛影响使用到 HTTP/2 协议的组件，包括但不限于 Netty、Go、Apache Tomcat、grpc-go、jetty、nghttp2、Apache Traffic Server 等。这些组件如果存在漏洞且未及时更新，可能会遭受拒绝服务攻击，影响业务的正常运行。

3. 发起了互联网历史上最大规模的 DDoS 攻击，峰值可达数亿次请求每秒。

• • Cloudflare、谷歌和 AWS 透露，恶意行为者已利用名为 “HTTP/2 Rapid Reset” 的新零日漏洞发起互联网历史上最大规模的分布式拒绝服务 (DDoS) 攻击。Cloudflare 发现的其中一次攻击规模是该公司 2 月份报告的破纪录的每秒 7100 万次请求 (RPS) 攻击的三倍，峰值达到 2.01 亿 RPS。谷歌观察到一次 DDoS 攻击，峰值可达 3.98 亿 RPS，是这家互联网巨头此前遭遇的最大规模攻击的七倍多。8 月下旬的两天内，亚马逊遭遇了十几起 HTTP/2 快速重置攻击，最大峰值达到 1.55 亿 RPS。

三、如何防范

1. 评估业务是否受 HTTP/2 协议影响后，酌情升级使用 HTTP/2 协议的组件至安全版本。对于使用到 HTTP/2 协议的组件，如 Netty、Go、Apache Tomcat、grpc-go、jetty、nghttp2、Apache Traffic Server 等，需检查其版本是否在受影响范围内。若在受影响范围，应及时升级至安全版本，以避免遭受 HTTP/2 Rapid Reset 拒绝服务漏洞的攻击。在升级前，务必做好数据备份工作，防止出现意外情况。

2. 对 NGINX 配置文件进行更新，保持 keepalive_requests 为 1000 次请求的默认设置，http2_max_concurrent_streams 为 128 个数据流的默认设置，并添加 limit_conn 和 limit_req 等安全措施。

• • keepalive_requests 应保持 1000 次请求的默认设置，这有助于在兼顾网络和服务器性能的同时，防止攻击者通过创建大量连接来绕过限制。

• • http2_max_concurrent_streams 应保持 128 个数据流的默认设置，限制并发流的数量，防止服务器超载。

• • 合理添加 limit_conn 指令，限制单个客户端的连接数，在应用性能和安全性之间取得平衡。

• • 合理添加 limit_req 指令，限制在给定时间内处理的来自单个客户端的请求数，同样在应用性能和安全性之间取得平衡。

3. 对于 Cisco Expressway，可通过修改文件配置并重启 “Traffic Server” 来缓解漏洞影响。

• • 使用 SCP 客户端访问 expressway 文件系统（使用根凭据），位置为 /tandberg/trafficserver/etc/。

• • 创建文件的备份并保存到 PC 上，然后打开原始文件。

• • 在记事本中打开文件，搜索字符串 “CONFIG proxy.config.http.server_ports STRING 8443”。

• • 修改行 “CONFIG proxy.config.http.server_ports STRING 8443:proto=http:ssl 8443:proto=http:ssl:ipv6”。

• • 保存文件并使用 WinSCP 将其上传到 expressway 中的同一位置。

• • 使用根凭证登录到 Expressway CLI，然后使用命令 “/etc/init.d/trafficserver restart” 重新启动 “Traffic Server”。但需注意，系统重新启动会将配置恢复为默认值，更改将丢失。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。