谷歌、AWS 和 Cloudflare 三家公司周二發(fā)布公告稱，它們阻止了據(jù)稱有史以來最大的 DDoS 攻擊。

　　這次攻擊是由一個(gè)新的 DDoS 漏洞(編號(hào)為 CVE-2023-44487)引起的，涉及 HTTP/2 協(xié)議，用于互聯(lián)網(wǎng)上傳輸文件的一套標(biāo)準(zhǔn)化規(guī)則。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)官網(wǎng)上的漏洞頁(yè)面介紹說到："HTTP/2 協(xié)議之所以允許拒絕服務(wù)(服務(wù)器資源消耗)，是由于請(qǐng)求取消可以快速重置許多請(qǐng)求流。"

　　作為多方協(xié)調(diào)披露的一部分，谷歌云、亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)和 Cloudflare 都發(fā)布了博文和公告，提供了有關(guān)這條 DDoS 攻擊途徑的更多技術(shù)信息。在谷歌發(fā)布的兩篇博文中的一篇中，這家科技巨頭稱之為 " 迄今為止最大的 DDoS 攻擊，峰值時(shí)期每秒超過 3.98 億個(gè)請(qǐng)求。"

　　在 Cloudflare 的技術(shù)分析博文中，它追蹤到峰值時(shí)期每秒超過 2.01 億個(gè)請(qǐng)求，幾乎是之前觀察到的創(chuàng)紀(jì)錄攻擊的三倍。

　　Cloudflare 的兩名工程師 Lucas Pardue 和 Julien Desgats 寫道：" 令人擔(dān)憂的是，攻擊者僅用 2 萬臺(tái)機(jī)器組成的僵尸網(wǎng)絡(luò)就能發(fā)動(dòng)這等規(guī)模的攻擊。現(xiàn)在的僵尸網(wǎng)絡(luò)由數(shù)十萬乃至數(shù)百萬臺(tái)機(jī)器組成。考慮到整個(gè)互聯(lián)網(wǎng)通常每秒只出現(xiàn) 10 億到 30 億個(gè)請(qǐng)求，可想而知，使用這種方法可以將整個(gè)互聯(lián)網(wǎng)的請(qǐng)求都集中在少數(shù)目標(biāo)上。"

　　在另一篇博文中，谷歌的兩名工程師 Juho Snellman 和 Daniele Iamartino 專門介紹了這起攻擊和攻擊途徑的工作原理。他們寫道，這次名為 Rapid Reset(" 快速重置 ")的攻擊持續(xù)了幾個(gè)月，在 8 月份達(dá)到了高峰。

　　博文作者說道，自 2021 年底以來，谷歌服務(wù)遭到的大多數(shù)應(yīng)用層或第 7 層 DDoS 攻擊基于 HTTP/2，" 無論從攻擊數(shù)量來看還是從峰值請(qǐng)求速率來看 "。

　　谷歌表示，HTTP/2 攻擊之所以占主導(dǎo)地位，是由于這種協(xié)議能夠以多路并發(fā) " 流 " 的方式處理請(qǐng)求，而不是像 HTTP/1.1 那樣需要按順序處理請(qǐng)求。正因?yàn)槿绱耍琀TTP/2 攻擊能夠執(zhí)行的并發(fā)請(qǐng)求數(shù)量比利用舊協(xié)議的攻擊多得多。

　　就快速重置 DDoS 而言，攻擊客戶端 " 像在標(biāo)準(zhǔn)的 HTTP/2 攻擊中一樣，一次性打開大量的請(qǐng)求流，但客戶端不是等待服務(wù)器或代理對(duì)每個(gè)請(qǐng)求流作出響應(yīng)，而是立即取消每個(gè)請(qǐng)求。"

　　更多的技術(shù)細(xì)節(jié)可以在谷歌、Cloudflare 和亞馬遜的博文中找到。

　　谷歌認(rèn)為，其負(fù)載均衡基礎(chǔ)設(shè)施 " 基本上 " 在其網(wǎng)絡(luò)的邊緣設(shè)法阻止了快速重置攻擊，防止任何中斷。亞馬遜表示，AWS 在 " 短短幾分鐘內(nèi) " 確定了攻擊的性質(zhì)，其 CloudFront 內(nèi)容分發(fā)網(wǎng)絡(luò)自動(dòng)化解了攻擊。

　　與此同時(shí)，Cloudflare 表示，它看到了 502 錯(cuò)誤和請(qǐng)求數(shù)量激增，但通過改變其技術(shù)堆棧和技術(shù)故障中詳細(xì)說明的緩解措施，迅速做出了反應(yīng)。

　　關(guān)于緩解措施，谷歌表示，阻止單個(gè)請(qǐng)求還不夠，一旦發(fā)現(xiàn)濫用情況，就需要關(guān)閉整條 TCP 連接，更廣泛的緩解包括跟蹤分析連接統(tǒng)計(jì)數(shù)據(jù)以及基于各種信號(hào)為 GOAWAY 幀類型的內(nèi)置 HTTP/2 緩解優(yōu)先考慮連接。這三家供應(yīng)商還都實(shí)施了另外的內(nèi)部檢測(cè)和緩解措施。

　　Pardue 和 Desgats 在 Cloudflare 的博文中警告，CVE-2023-44487 和快速重置攻擊的風(fēng)險(xiǎn)普遍存在。他們寫道：" 由于攻擊濫用了 HTTP/2 協(xié)議的底層弱點(diǎn)，我們相信任何實(shí)施了 HTTP/2 的供應(yīng)商都將受到攻擊。這包括每一臺(tái)現(xiàn)代 Web 服務(wù)器。"

　　Forster 說：" 組織必須將事件管理、打補(bǔ)丁和完善安全保護(hù)措施變成一種持續(xù)的過程。針對(duì)每個(gè)漏洞變體的補(bǔ)丁降低了風(fēng)險(xiǎn)，但并不總是完全消除風(fēng)險(xiǎn)。在這種情況下，Cloudflare 開發(fā)了專門的技術(shù)以緩解零日漏洞的影響。"