一个新的DDoS漏洞（编号为CVE-2023-44487）引起的，涉及HTTP/2协议，用于互联网上传输文件的一套标准化规则。美国国家标准与技术研究所（NIST）官网上的漏洞页面介绍说到：“HTTP/2协议之所以允许拒绝服务（服务器资源消耗），是由于请求取消可以快速重置许多请求流。”

作为多方协调披露的一部分，谷歌云、亚马逊网络服务（AWS）和Cloudflare都发布了博文和公告，提供了有关这条DDoS攻击途径的更多技术信息。在谷歌发布的博文中称：这家科技巨头称之为“迄今为止最大的DDoS攻击，峰值时期每秒超过3.98亿个请求。”

在Cloudflare的技术分析博文中写道，它追踪到峰值时期每秒超过2.01亿个请求，几乎是之前观察到的创纪录攻击的三倍。

Julien Desgats说：“令人担忧的是，攻击者仅用2万台机器组成的僵尸网络就能发动这等规模的攻击。现在的僵尸网络由数十万乃至数百万台机器组成。考虑到整个互联网通常每秒只出现10亿到30亿个请求，可想而知，使用这种方法可以将整个互联网的请求都集中在少数目标上。”

就快速重置DDoS而言，攻击客户端“像在标准的HTTP/2攻击中一样，一次性打开大量的请求流，但客户端不是等待服务器或代理对每个请求流作出响应，而是立即取消每个请求。”

更多的技术细节可以在谷歌、Cloudflare和亚马逊的博文中找到。

关于缓解措施，谷歌，阻止单个请求还不够，一旦发现滥用情况，就需要关闭整条TCP连接，更广泛的缓解包括跟踪分析连接统计数据以及基于各种信号为GOAWAY帧类型的内置HTTP/2缓解优先考虑连接。这三家供应商还都实施了另外的内部检测和缓解措施。

Pardue和Desgats在Cloudflare的博文中警告，CVE-2023-44487和快速重置攻击的风险普遍存在。他们写道：“由于攻击滥用了HTTP/2协议的底层弱点，我们相信任何实施了HTTP/2的供应商都将受到攻击。这包括每一台现代Web服务器。”

针对每个漏洞变体的补丁降低了风险，但并不总是完全消除风险。在这种情况下，需要开发 专门的技术以缓解零日漏洞的影响。

更多关于DDOS攻防新闻资讯欢迎联系防御吧

参考及来源:https://www.techtarget.com/searchsecurity/news/366554941/Rapid-Reset-DDoS-attacks-exploiting-HTTP-2-vulnerability