【{$randkws}】谷歌缓解史上最大规模的攻击 攻击者利用HTTP/2每秒发出3.98亿个请求 – 蓝点网 - {$web_name} 每个流对应着一个 HTTP 请求

Google Cloud 这周亮相博客说明最近一段时间新呈现的攻击类型：HTTP/2 高效重置。

攻击者运用这个方法从 8 月份着手对谷歌云渠道的客户发起攻击，其中攻击者在某次攻击中在 1 秒内发出了高达 3.98 亿个请求，这也是当下有记录以来的每秒请求数最高的一次攻击。

HTTP/2 的特性：

HTTP/2 的首要设计目标就是效率，其特性之一就是详细科幻大片精选提升 TCP 连接的运用率，与 HTTP/1.1 中的每个请求都是排队处理各异，HTTP/2 中可以在单个 TCP 连接中开启多个并发流，每个流对应着一个 HTTP 请求。

理论上说并发开启流的最大数量应该由目标办事器控制，但实际上客户端的每个请求可以开启 100 个流，办事器也会处理这 100 个流，由于办事器并不能单方面改动限制。秋季预测口碑评价，话题持续发酵

这种并发操控的好处在于每个连接的运用率都可以提升 100 倍，这比 HTTP/1.1 的排队处理要优秀的多。

HTTP/2 高效重置漏洞：

这个难题当下已然被标记为可靠难题，编号为 CVE-2023-44487，严格来说这并不是可靠难题，而024荣耀Magic每一句都扎心 HTTP/2 的特性被攻击者运用，但谷歌觉得有必要引发业界留意，所以也提交了漏洞通报。

HTTP/2 还有个特色是 RST_STREAM，该协议允许客户端向办事器发送 RST_STREAM 帧来撤销先前的流，并且这还不需要客户端和办事器开展任何协商，客户端可以单方面这么干。一文读懂官宣消息汇总

当办事器收到 RST_STREAM 帧时，在处理来自该 TCP 链接的任何其他资料之前，撤销都将马上生效。

HTTP/1.1 攻击、常规 HTTP/2 攻击和 HTTP/2 高效重置攻击的请求示意图

攻击者怎么操控的呢？攻击者运用这个特性，在发出请求帧后马上发送 RST_STREAM 帧，这样一个发起攻击的客户端着手岗位后再高效重置请求，请求被撤销后，HTTP/2 的连接实际还维持着开启状态。

这样就可以疯狂发起请求然后再发送 RST_STREAM 帧，攻击者不会发起超过并发流的限制，也就是 100，在 100 个并发流范围内使用众多攻击客户端在每秒内发出多个请求(注意：在 1 秒内可以发出多次请求，100 并发流是单次请求中的上限，但每秒发出多次请求就可以高效放大攻击。)。

这类攻击导致请求的数量不再取决于 RTT 即往返时间，而是取决于办事器的可用联网带宽。

在典型的 HTTP/2 办事器做到中，办事器依然需要为撤销请求执行众多岗位，例如分配新的流资料结构、确认查询并开展标头压缩以及将 URL 映射到资源。

针对反向代理做到，可以在处理 RST_STREAM 帧之前将请求代理到后端办事器。

另一方面，发起攻击的一方无需支付发送请求的费用，这对联网带宽的占用也不大，还可以放大攻击规模，成本极低。

HTTPS/3 没这个难题：

由于协议的差异，谷歌觉得 HTTP/2 DDoS 不会被直接转换为 HTTP/3 或 QUIC DDoS，谷歌当下并未目睹有关 HTTP/3 DDoS 的大规模攻击向量，尽管如此谷歌依然提议 HTTP/3 办事器主动实施机制来限制单个传输连接达成的岗位量。操控方法相似于 HTTP/2 DDoS 的缓解计划。

缓解计划见这里：https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack