HTTP 快(kuài)速重置攻擊：網絡安全新挑戰

自(zì) 8 月(yuè)份以來(lái)，HTT•‌P 快(kuài)速重置攻擊以其強大(dà®←)的(de)破壞力在網絡世界中迅速崛起。這(zhè)種攻擊作(zuò)•γ↑≤為(wèi)零日(rì)漏洞被積極利用(yòng)，規模之↕☆€大(dà)打破了(le)以往所有(yǒu)記錄。¥☆ 
Amazon Web Services、Cloudflare 和§≠'‌(hé) Google 聯合發布消息稱，他 δ (tā)們分(fēn)别緩解了(le)每秒(miǎo) 1 ®>.55 億個(gè)請(qǐng)求（A♠‍mazon）、2.01 億個(gè) rps↓γ（Cloudflare）和(hé)破紀錄的(de) 3.98 百萬φ™" rps（谷歌(gē)）的(de)攻擊。Cloudfl§ are 表示，此次攻擊規模是(shì) 2023 年(nián) 2 月(y¶♦→≥uè)以來(lái)記錄（7100 萬 rps）的(de)β≤✘三倍，且令人(rén)震驚的(de)是(shì)，"≠σ‍這(zhè)是(shì)由僅 20000 台機₩↓(jī)器(qì)組成的(de)相(xiàn ₽g)對(duì)較小(xiǎo)的(de)僵屍網絡實現(xiàn)的(d×♣₩e)。自(zì) 8 月(yuè)底以來(lái)，Cloudflare ' ₩已檢測并緩解了(le)超過 1000 起 “HT"±ε×TP/2 快(kuài)速重置”DDoS 攻擊，其中 σε±184 次打破了(le)之前 7100 萬 rps 的(de)記錄¥$ε。
這(zhè)種新穎的(de)攻擊利用(yòng)了∑σ₽☆(le)編号為(wèi) CVE-2023-44487 的(d★>↑$e)零日(rì)漏洞，濫用(yòng) HTTP/2 的(de) γ↔流取消功能(néng)，不(bù)斷發送和(hé)取消請(qǐng)求，壓垮目 ε​♣标服務器(qì) / 應用(yòng)程序并施加 DoS 狀态。HTTP/2 ÷≠♦¶以參數(shù)形式提供保護，限制(zhì)并發↑↑活動流的(de)數(shù)量以防止 DoS 攻擊，但(dàn)并不€↔(bù)總是(shì)有(yǒu)效。協議(yì)開(kāi)<≠發人(rén)員(yuán)引入的(de) “請(q₩>©•ǐng)求取消” 功能(néng)也(y♠βě)被惡意行(xíng)為(wèi)者濫用(yòng)∞₩<。自(zì) 8 月(yuè)底以來(lái)，惡意行(xíng)為(®♣×wèi)者在服務器(qì)上(shàng)發送一(yī)系列 ↔♣♦HTTP/2 請(qǐng)求和(hé)重置（RST_Stream‍✘"© 幀），要(yào)求服務器(qì)處理(lǐ)每個(gè)請(qǐng)γ§₽∑求并執行(xíng)快(kuài)速重置，從(cóng)而超出其響應新傳入請‌¶ε(qǐng)求的(de)能(néng)力。
如(rú)今，随著(zhe)更多(duō)威脅參與者可(kě ©$§)能(néng)使用(yòng)更廣泛的(de)僵屍網絡以及這÷§(zhè)種新的(de)攻擊方法，HTTP/2 快(kuài)♦ ×"速重置攻擊将繼續打破更大(dà)的(de)記錄。鑒于整個>€(gè)網絡通(tōng)常每秒(miǎo)僅處理(lǐ) 1 - 30 ≠→π億個(gè)請(qǐng)求，這(zhè)種攻擊方 ↔≠法可(kě)以将整個(gè)網絡的(de)請(qǐng)求集中在少σ₽(shǎo)數(shù)目标上(shàng)π∏，其潛在威脅不(bù)容小(xiǎo)觑。

二、攻擊原理(lǐ)與影(yǐng)響

（一(yī)）攻擊原理(lǐ)詳解

HTTP/2 協議(yì)旨在提高(gāo)網頁加載速度和(hé)改善用(yòγ σng)戶體(tǐ)驗，其通(tōng)過多(™✔duō)路(lù)複用(yòng)、頭部壓縮等®±特性實現(xiàn)更高(gāo)效的(de)資源傳 ∑‍"輸。然而，這(zhè)些(xiē)特性也(yě)可(kě)能₽♥≠(néng)被惡意利用(yòng)，特别是(shì∏")快(kuài)速重置（RST）功能(néng)φ∏。
在攻擊中，惡意行(xíng)為(wèi)♦δ₹♥者通(tōng)過持續發送 HEADERS、©λ‌RST_STREAM 幀組合來(lái)消耗服務器(qì)資源₹'。具體(tǐ)來(lái)說(shuō)，客戶端 ‌∏←可(kě)以不(bù)停向服務器(qì)發送請(qǐng)求，中間(jiān)↓ ♠不(bù)用(yòng)等待任何響應，導緻服務器(qì)陷入了(le¶★↑)接受請(qǐng)求 - 處理(lǐ)請(qǐng ±±)求 - 直接結束請(qǐng)求的(de)循環中。當服務端收到(dào)一•‌♠(yī)個(gè) RST_STREAM 幀→↕時(shí)，會(huì)直接關閉該流。攻擊者就(jiù)利用(yòng)β≈這(zhè)個(gè)漏洞，使服務器(qì)不(bù)斷處理(lǐ)請(&∞qǐng)求又(yòu)被快(kuài)&€速取消，從(cóng)而消耗服務器(qì)資源，進而± ∞影(yǐng)響服務器(qì)正常請(qǐng)¶♠求的(de)處理(lǐ)，造成 DDoS 攻♠↑‌≈擊。

（二）攻擊規模與影(yǐng)響

此次攻擊峰值達到(dào)數(shù)億 RPS，如(rú)谷歌γ♣♣(gē)觀察到(dào)的(de)一(yī)次 DDo<"€↕S 攻擊峰值可(kě)達 3.98 億 RPS，是(shì)這(÷☆₽®zhè)家(jiā)互聯網巨頭此前遭遇的(de)最大(dà)規δ"₩★模攻擊的(de)七倍多(duō)。Clouδλ¶dflare 發現(xiàn)的(de)其中一(yī)次攻擊規模達到(≥β♠∞dào) 2.01 億 RPS，亞馬遜也(yě)遭遇了‍₹£§(le)十幾起 HTTP/2 快(kuài)速重置攻擊，最大(d≈★à)峰值達到(dào) 1.55 億 RPS。
如(rú)此大(dà)規模的(de)攻擊導緻服務器(qì)響↑>應能(néng)力下(xià)降，給衆多(duō)行(xínβ≈$g)業(yè)帶來(lái)了(le)嚴重影(yǐng)響。其中，遊戲、IT∑↓、加密貨币、計(jì)算(suàn)機(jī)軟件(jiàn∑↓)和(hé)電(diàn)信等行(xíng)業(λ♥yè)尤其易受攻擊。據 Cloudflare 的(de)報(bào©®)告，受到(dào) HTTP DDoS 攻 Ω™φ擊的(de)行(xíng)業(yè)主要(yào)包括這(zhè)些(xiē∏★←§)領域。攻擊不(bù)僅使服務器(qì)陷入€π癱瘓，還(hái)可(kě)能(néng)導緻業→§ (yè)務中斷、經濟損失甚至信譽受損。例如(rú)，在遊戲行(x¶∑♥♥íng)業(yè)，可(kě)能(néng)導緻玩(≤✔wán)家(jiā)無法正常登錄遊戲、遊戲卡頓或中斷，影(yǐng)響玩(w♠₹πán)家(jiā)體(tǐ)驗，進而影(yǐng)響遊戲公司•©€的(de)收入和(hé)聲譽。在 IT 行(xíng)業(yè→←)，可(kě)能(néng)影(yǐng)響企業(yè)♥Ω♥的(de)在線服務、數(shù)據中心等關鍵業(yè)務，給企業(yè→♠)帶來(lái)巨大(dà)的(de)經濟損失。同時(shí)，這(zhè✔"‌)些(xiē)攻擊也(yě)提醒了(le)相(∏✔'<xiàng)關行(xíng)業(yè)要(yào)加強網絡安全防護，•✔≤及時(shí)采取應對(duì)措施，以減少(sh×≥σǎo)攻擊帶來(lái)的(de)影(yǐng)響。

三、受影(yǐng)響的(de)開(kāi)源項目

HTTP/2 “快(kuài)速重置§×♦” 漏洞影(yǐng)響了(le)衆多(duεφō)開(kāi)源項目，以下(xià)是(shì)'✔♠至少(shǎo)十個(gè)受影(yǐng)響的(de)開< γ(kāi)源軟件(jiàn)包：

• org.eclipse.jetty.http2:jetty-http2-com★σ¥mons：作(zuò)為(wèi)一(yī)個(gè)重要( ∏©™yào)的(de)開(kāi)源項目，受到(d→≈§βào)了(le)該漏洞的(de)影(yǐng)響，開(kāi)發團隊需要(γ‌yào)及時(shí)進行(xíng)修複以确♦©&保系統的(de)安全性。

• proxygens：這(zhè)個(gè)開(kāi)源軟件(ji‍'♣àn)包也(yě)未能(néng)幸免，漏洞的(de)存在可(↓$©kě)能(néng)導緻其在實際應用(yòng)中面臨安全風(fēng)險×∏。

• io.netty:netty-codec-ht✘☆$tp2：廣泛應用(yòng)于網絡通(tōng)信領域₹←的(de)該項目，因漏洞的(de)出現(xiàn)需要(yào)進行(xíng₹≈σ )緊急的(de)安全更新。

• org.apache.tomcat:tomcat-coyote：Apache Tomcat 的(de)重要(yào)組成部分(fēn)¶π> ，受漏洞影(yǐng)響後可(kě)能(néng)對(Ωσ→♣duì)使用(yòng) Tomcat β♠的(de)衆多(duō)應用(yòng)造成潛在 '​威脅。

• github.com/nghttp2/nghttp2（golang）：在 Go 語言的(de)開(kāi)發社區(qū≈Ω)中具有(yǒu)一(yī)定的(de)影(yǐng)響力，漏洞的(de→←)存在需要(yào)開(kāi)發者及時(±↔∞shí)采取措施進行(xíng)修複。

• Apache 流量服務器(qì)：作(zuò)為(wèi)一(yī)個(gè)重要(y₽∞α♥ào)的(de)網絡服務器(qì)項目，漏洞的(de)出‌>現(xiàn)可(kě)能(néng)影♣♦>(yǐng)響其性能(néng)和(hé)安全性。

• google.golang.org/grpc：谷歌(gē)開(kāi)發的(de)重要(yào)通(tōα€δ¶ng)信框架，受漏洞影(yǐng)響後需要(yào)進行(xíng)™Ωσ安全更新以保障用(yòng)戶的(de)使≤★ε用(yòng)安全。

• k8s.io/kubernetes：在容器(qì)編排領域具有(yǒu)重要(yào)地(d​✘φ✔ì)位，漏洞的(de)影(yǐng)響可(kěλσ↓←)能(néng)波及到(dào)衆多(d✔₩>uō)使用(yòng) Kubernetes 的(de)企業(yè"♠​)和(hé)組織。

• github.com/envoyproxy/envoy：Envoy 是(shì)一(yī)個(gè)流行(xín•₩↑g)的(de)代理(lǐ)服務器(qì)項目，漏洞的(d&→φe)出現(xiàn)需要(yào)及時(shí)進行(xíng)修複以确♠£保其穩定運行(xíng)。

• libnghttp2：該庫在 HTTP/2 通(tōng)信中發揮著(zhe)重$ §÷要(yào)作(zuò)用(yòng)，漏洞的(d∞÷ e)存在可(kě)能(néng)導緻其在實> 際應用(yòng)中出現(xiàn)安全問(wèn)題。€‌ ÷

美(měi)國(guó)網絡安全和(hé)基礎© ₩設施安全局（CISA）發布了(le)建議(yì)，敦促 ∑★&✘“提供 HTTP/2 服務的(de)組織” 在可(kě€λ)用(yòng)時(shí)應用(yòng)補¥<丁，并考慮配置更改和(hé)其他(tā)緩解措施。谷Ω••∞歌(gē)雲、亞馬遜網絡服務（AWS）和(hé)微(wēi)軟也(yě←±•)發布了(le)類似的(de)建議(yì)。這(zhè)些(xi↓≥ē)受影(yǐng)響的(de)開(kāi)源項目的 ♣δ(de)開(kāi)發團隊需要(yào)π↑×密切關注漏洞的(de)修複情況，及時(shí)更新産¶β品，以保護用(yòng)戶免受攻擊。同時(shí)，用(y♣♥òng)戶也(yě)應該檢查自(zì)己使用(yò↓¥ ☆ng)的(de)開(kāi)源項目實例，獲取具體(tǐ)的(de)檢Ω §測和(hé)修複建議(yì)，确保系統的(de)安全穩定運行(xínσ‌≤g)。

四、防範措施

（一(yī)）部署防護系統
具有(yǒu)先進檢測和(hé)防禦機(j♥★<ī)制(zhì)的(de) DDoS 防護系統在Ω₽↑✔應對(duì) HTTP/2 快(kuài) ↑速重置攻擊中起著(zhe)關鍵作(zuò)用(yòng)。以快(kuài✔♦•‌)快(kuài)網絡高(gāo)防 IP 服務為  (wèi)例，這(zhè)類系統能(néng)夠檢測異常流量。據統>≤σ↑計(jì)，在實際應用(yòng)中，快(kuài)快(kuài)網$✘絡高(gāo)防 IP 服務可(kě)以有(yǒu)效♥↑檢測出高(gāo)達 90% 以上(shàn"‌♣g)的(de)惡意流量，并通(tōng)過流量清洗中心過濾掉這(zhè)些(x♣≥iē)惡意流量，确保合法流量能(néng)夠順利到(dào)達服務器(≥↑qì)。它就(jiù)像是(shì)一(↑σyī)道(dào)堅固的(de)城(chéng)牆，将惡意α£¥↕攻擊阻擋在外(wài)，為(wèi)企業(yè)的(&§'de)網絡安全提供有(yǒu)力保障。

（二）配置安全工(gōng)具

1. 使用(yòng)防火(huǒ)牆和(hé)入侵檢測λ ✔系統（IDS）可(kě)以有(yǒu)效地(dì)監測和(hé)阻♣ 止惡意流量。通(tōng)過設置規則來(lái)↕£過濾或阻止含有(yǒu) RST 标志(zhì)的‍♦α(de)異常 TCP 包，能(néng)夠減少(shǎo)攻擊的(de)"★≈‍影(yǐng)響。例如(rú)，一(yī)些(xiλγ↕♣ē)企業(yè)在配置防火(huǒ)牆後，成功将惡意流量的(de)攔截率© 提高(gāo)了(le) 70%。

2. 加強訪問(wèn)控制(zhì)也(yě)是(shì)重要₩§≥₩(yào)的(de)防範措施之一(yī)。确保隻有(yǒu)經過認證的(d∏∏e)用(yòng)戶才能(néng)建立連接，使用(yòng)身(₩σ$&shēn)份驗證機(jī)制(zhì)如(rú)兩步驗證 ‍（2FA），可(kě)以增強安全性。據相(xiàng)≈♣關數(shù)據顯示，采用(yòng)兩步≈​ £驗證後，未經授權的(de)訪問(wèn)嘗¶λ<試減少(shǎo)了(le) 80% 以上(shàng)。

3. 升級和(hé)打補丁是(shì)必不(bù)可(kě)少(sh$​•ǎo)的(de)環節。定期更新和(hé)修補服務器(qì)操作(α←λ₹zuò)系統以及應用(yòng)程序，确保所有(yǒu)已知(zhī)的(d♠₩λe)安全漏洞得(de)到(dào)修複。及時(shí)安裝官方發布的(de™÷ ×)補丁，能(néng)減少(shǎo)被★→<利用(yòng)的(de)風(fēng)險。例如'σ→(rú)，某企業(yè)在及時(shí)安裝補丁後，遭受攻擊的(de)±✔★☆頻(pín)率降低(dī)了(le) 60®π£$%。

4. 監控與日(rì)志(zhì)分(fēn)析同樣關鍵。啓用(yò‌♥‌αng)詳細的(de)日(rì)志(zhì)記錄和∑‌§≥(hé)監控功能(néng)，實時(shí)監控網絡流量和(hé)∑←α服務器(qì)狀态。通(tōng)過分(fēn)♣ε™析日(rì)志(zhì)數(shù)據，可(kě)以及時(sh≤✘♣í)發現(xiàn)異常活動，并采取相(xiàng)應的(de)措施。一¥±'(yī)些(xiē)企業(yè)通(tōng)過監控與日(rì)志($γzhì)分(fēn)析，成功在攻擊初期就(jiù)發現(xiàn)問•£(wèn)題并進行(xíng)處理(lǐ)，避免了(le)更大 ≠‌¥(dà)的(de)損失。

（三）特定措施

1. 對(duì)于 HTTP/2 快(kuài)速重置漏洞，可(₩∏kě)以選擇禁用(yòng) HTTP/2 協議(yì)。如(rú)果企γ÷‍業(yè)覺得(de) HTTP/2 快(kuài)速重置攻擊可(kě₽δ₽)能(néng)造成危害，直接禁用(yòng) HΩ"TTP/2 協議(yì)，服務器(qì)将使用(yòng) HTTP/>φ✘1.1，雖然攻擊者仍可(kě)以發起攻擊，但(dàn)攻擊¶₹方式變為(wèi)傳統方法，相(xiàng)對(duì)更容易防範。

2. 雙重注冊表項禁用(yòng)路(lù)徑也(yě)是(shì)一(yī)種 •有(yǒu)效的(de)防範方式。針對(duì)漏洞，建議(yì$‍♣)用(yòng)戶通(tōng)過 EnableHttp2TIs 和(h₹₹é) EnableHttp2Cleartext 兩個(gè)注冊表項禁用(☆εδyòng) HTTP/2。使用(yòng) Akamai Gua↔&rdicore Segmentation 的(de)用(yòng∞↔)戶，可(kě)使用(yòng)查詢跨網絡中的(de)服務器 ♠≥↔(qì)讀(dú)取此值，進一(yī)步增強了(le)系統的(de)安全性。

墨者安全 防護盾

墨者安全作(zuò)為(wèi)專業(yè)級别安全防護專家(∏‌jiā)，在應對(duì) Webshell 風(fēng)險隐患方面©♦​展現(xiàn)出了(le)卓越的(de₽• ₩)能(néng)力。其擁有(yǒu)全面的(de)檢測機(jī)制(zhì)，‌∞ ¶能(néng)夠精準識别 Webshell 的(de)各種類型和(hé)變♦→♥體(tǐ)，無論是(shì)複雜(zá)的(de)大(dà)馬，還(hái><$)是(shì)隐蔽的(de)內(nèi)存馬，都(dōu)難逃≠‍​其敏銳的(de)監測。
墨者安全防護盾具備強大(dà)的(de)實時(shí)監控​'↕γ功能(néng)，對(duì)服務器(qì)的(de)各項活動進§≈€行(xíng) 7*24 小(xiǎo)時(shí  )不(bù)間(jiān)斷的(de)監視(γ↕↕←shì)。一(yī)旦發現(xiàn)任何可(kě)疑的(de) ≠÷♠ Webshell 活動迹象，立即發出警報(bào)，并迅速采取隔離(♥↕lí)和(hé)清除措施，将風(fēng)險扼殺在萌芽狀态。
在防護策略上(shàng)，墨者安全防護盾采 $‌用(yòng)了(le)多(duō)層次的(§✔∞de)防禦體(tǐ)系。不(bù)僅能(néng)夠在網絡≥¥ε層面阻擋外(wài)部的(de)惡意訪問(wèn)和(hé)攻擊，還(÷↕hái)能(néng)深入系統內(nèi)部，對(duì)服務器(q∏δσì)的(de)文(wén)件(jiàn)系統、←δ≈★進程等進行(xíng)深度檢查和(hé)保護，确σ₽保 Webshell 無法植入和(hé)運行(<♠σ←xíng)。
同時(shí)，墨者安全防護盾擁有(yǒu)快(kuài)速> €♠的(de)應急響應能(néng)力。當 We÷↑bshell 攻擊事(shì)件(jiàn)發生(shēng)時(sh♠$í)，專業(yè)的(de)安全團隊能(néng)夠迅速介入₩™≤≥，進行(xíng)深入的(de)分(fēn)析和(hé)處理(lǐ)♥¥$，最大(dà)程度減少(shǎo)攻擊帶來(lái)的(de)損 ©失，并幫助用(yòng)戶快(kuài)速恢複服務器(qì)的(de↑')正常運行(xíng)。
墨者安全防護盾還(hái)注重用(yòngβ→Ωσ)戶教育和(hé)培訓，為(wèi)用(yòng)戶提供關>​×于 Webshell 防範的(de)專業(yè)知(zhī)識和(hé)最©→π↑佳實踐，幫助用(yòng)戶提升自(zì)身(shēn)的(de)安全意"∞識和(hé)防範能(néng)力，共同構建堅實的(de)網絡安全防線。