谷歌、AWS 和 Cloudflare 三家公司周二發(fā)布公告稱，它們阻止了據(jù)稱有史以來最大的 DDoS 攻擊。

　　這次攻擊是由一個新的 DDoS 漏洞(編號為 CVE-2023-44487)引起的，涉及 HTTP/2 協(xié)議，用于互聯(lián)網(wǎng)上傳輸文件的一套標準化規(guī)則。美國國家標準與技術(shù)研究所(NIST)官網(wǎng)上的漏洞頁面介紹說到："HTTP/2 協(xié)議之所以允許拒絕服務(服務器資源消耗)，是由于請求取消可以快速重置許多請求流。"

　　作為多方協(xié)調(diào)披露的一部分，谷歌云、亞馬遜網(wǎng)絡服務(AWS)和 Cloudflare 都發(fā)布了博文和公告，提供了有關這條 DDoS 攻擊途徑的更多技術(shù)信息。在谷歌發(fā)布的兩篇博文中的一篇中，這家科技巨頭稱之為 " 迄今為止最大的 DDoS 攻擊，峰值時期每秒超過 3.98 億個請求。"

　　在 Cloudflare 的技術(shù)分析博文中，它追蹤到峰值時期每秒超過 2.01 億個請求，幾乎是之前觀察到的創(chuàng)紀錄攻擊的三倍。

　　Cloudflare 的兩名工程師 Lucas Pardue 和 Julien Desgats 寫道：" 令人擔憂的是，攻擊者僅用 2 萬臺機器組成的僵尸網(wǎng)絡就能發(fā)動這等規(guī)模的攻擊?，F(xiàn)在的僵尸網(wǎng)絡由數(shù)十萬乃至數(shù)百萬臺機器組成。考慮到整個互聯(lián)網(wǎng)通常每秒只出現(xiàn) 10 億到 30 億個請求，可想而知，使用這種方法可以將整個互聯(lián)網(wǎng)的請求都集中在少數(shù)目標上。"

　　在另一篇博文中，谷歌的兩名工程師 Juho Snellman 和 Daniele Iamartino 專門介紹了這起攻擊和攻擊途徑的工作原理。他們寫道，這次名為 Rapid Reset(" 快速重置 ")的攻擊持續(xù)了幾個月，在 8 月份達到了高峰。

　　博文作者說道，自 2021 年底以來，谷歌服務遭到的大多數(shù)應用層或第 7 層 DDoS 攻擊基于 HTTP/2，" 無論從攻擊數(shù)量來看還是從峰值請求速率來看 "。

　　谷歌表示，HTTP/2 攻擊之所以占主導地位，是由于這種協(xié)議能夠以多路并發(fā) " 流 " 的方式處理請求，而不是像 HTTP/1.1 那樣需要按順序處理請求。正因為如此，HTTP/2 攻擊能夠執(zhí)行的并發(fā)請求數(shù)量比利用舊協(xié)議的攻擊多得多。

　　就快速重置 DDoS 而言，攻擊客戶端 " 像在標準的 HTTP/2 攻擊中一樣，一次性打開大量的請求流，但客戶端不是等待服務器或代理對每個請求流作出響應，而是立即取消每個請求。"

　　更多的技術(shù)細節(jié)可以在谷歌、Cloudflare 和亞馬遜的博文中找到。

　　谷歌認為，其負載均衡基礎設施 " 基本上 " 在其網(wǎng)絡的邊緣設法阻止了快速重置攻擊，防止任何中斷。亞馬遜表示，AWS 在 " 短短幾分鐘內(nèi) " 確定了攻擊的性質(zhì)，其 CloudFront 內(nèi)容分發(fā)網(wǎng)絡自動化解了攻擊。

　　與此同時，Cloudflare 表示，它看到了 502 錯誤和請求數(shù)量激增，但通過改變其技術(shù)堆棧和技術(shù)故障中詳細說明的緩解措施，迅速做出了反應。

　　關于緩解措施，谷歌表示，阻止單個請求還不夠，一旦發(fā)現(xiàn)濫用情況，就需要關閉整條 TCP 連接，更廣泛的緩解包括跟蹤分析連接統(tǒng)計數(shù)據(jù)以及基于各種信號為 GOAWAY 幀類型的內(nèi)置 HTTP/2 緩解優(yōu)先考慮連接。這三家供應商還都實施了另外的內(nèi)部檢測和緩解措施。

　　Pardue 和 Desgats 在 Cloudflare 的博文中警告，CVE-2023-44487 和快速重置攻擊的風險普遍存在。他們寫道：" 由于攻擊濫用了 HTTP/2 協(xié)議的底層弱點，我們相信任何實施了 HTTP/2 的供應商都將受到攻擊。這包括每一臺現(xiàn)代 Web 服務器。"

　　Forster 說：" 組織必須將事件管理、打補丁和完善安全保護措施變成一種持續(xù)的過程。針對每個漏洞變體的補丁降低了風險，但并不總是完全消除風險。在這種情況下，Cloudflare 開發(fā)了專門的技術(shù)以緩解零日漏洞的影響。"