亚马逊、谷歌、Cloudflare合力抵御：新的零日攻击打破DDoS记录

      Cloudflare于8月下旬开始分析攻击方法和底层漏洞。该公司表示，一个未知的威胁参与者利用了广泛使用的HTTP/2协议中的一个弱点来发起“巨大的、超容量的”DDoS攻击。

      谷歌观察到一次 DDoS攻击，峰值可达3.98亿RPS，是这家互联网巨头此前遭遇的最大规模攻击的七倍多。谷歌表示，他们能够通过在网络边缘增加更多容量来缓解这些新的攻击。

      Cloudflare发现的其中一次攻击规模是该公司2月份报告的破纪录的每秒7100万次请求(RPS)攻击的三倍。而HTTP/2 Rapid Reset DDoS活动的峰值达到2.01亿RPS。令人担忧的是，这是由一个20000台机器组成的相对较小的僵尸网络实现的。

      自8月下旬以来，Cloudflare已经检测并缓解了超过1000次“HTTP/2 Rapid Reset”DDoS攻击，超过1000万rps，其中184次打破了之前7100万rps的记录。

      Cloudflare相信，随着更多的威胁参与者使用更广泛的僵尸网络以及新的攻击方法，HTTP/2快速重置攻击将继续打破更高的记录。考虑到整个网络通常每秒只能看到1-3亿个请求，使用这种方法将整个网络的请求集中在少数目标上并非不可想象。

      这种新型攻击利用了一个被跟踪为CVE-2023-44487的零日漏洞，该漏洞滥用了HTTP/2协议中的一个弱点。简单地说，该攻击方法滥用HTTP/2的流取消功能，连续发送和取消请求，使目标服务器/应用程序不堪重负，并强加DoS状态。

      HTTP/2以参数的形式提供了一种保护措施，该参数限制了并发活动流的数量，以防止DoS攻击；然而，这并不总是有效的。协议开发人员引入了一种更有效的措施，称为“请求取消”，它不会破坏整个连接，但可能会被滥用。

      自8月底以来，恶意行为者一直在滥用这一功能，在服务器上发送一系列HTTP/2请求和重置（RST_Stream帧），要求服务器处理每一个请求并执行快速重置，使其无法响应新的传入请求。

请求流图

      谷歌在其关于该问题的帖子中解释道：“该协议不要求客户端和服务器以任何方式协调取消，客户端可以单方面进行。”客户端还可以假设，当服务器收到RST_STREAM帧时，取消将立即生效，然后再处理来自该TCP连接的任何其他数据。

HTTP/2 快速重置逻辑概述

      Cloudflare解释说，HTTP/2代理或负载均衡器特别容易受到快速发送的长串重置请求的影响。该公司的网络在TLS代理与其上游代理之间的点上不堪重负，因此在错误请求到达阻塞点之前就已经造成了损害。

      就现实的影响而言，这些攻击已导致Cloudflare客户端中502个错误报告的增加。Cloudflare表示，它最终使用一个名为“IP监狱”的系统来处理超容量攻击，从而缓解了这些攻击，该公司将这一系统覆盖其整个基础设施。该系统“监禁”违规IP，并在一段时间内禁止他们在任何Cloudflare域中使用HTTP/2，同时影响共享被监禁IP的合法用户，性能略有下降。

      亚马逊表示，它减轻了数十起此类攻击，但没有提供有关其影响的任何细节，并强调其客户服务的可用性得到了维护。

亚马逊在2023年9月缓解的攻击

      这三家公司都得出结论，客户应对HTTP/2快速重置攻击的最佳方法是使用所有可用的HTTP防洪工具，并通过多方面的缓解措施增强其DDoS抵御能力。

      不幸的是，由于这种策略滥用HTTP/2协议，因此没有完全阻止攻击者使用这种DDoS技术的通用解决方案。相反，在软件中使用该协议的软件开发人员正在实施速率控制，以减轻HTTP/2快速重置攻击。

      在另一篇帖子中，Cloudflare解释说，他们必须将零日机密保密一个多月，以便安全供应商和利益相关者有时间对威胁做出反应，然后才能让更多威胁参与者知道“猫捉老鼠”游戏开始。

      Cloudflare解释道：“直到今天，我们一直对信息进行限制，以便让尽可能多的安全供应商有机会做出反应。”