HTTP/2快速重置攻击——新协议下的洪水

HTTP/2快速重置攻击——新协议下的洪水

摘要：HTTP/2快速重置攻击（Rapid Reset）利用HTTP/2的流取消机制，攻击者快速发送请求并立即发送RST_STREAM帧，使服务器处理部分请求但立即释放资源，导致大量半开连接耗尽CPU和内存。本文分析CVE-2023-44487的原理及防御：升级负载均衡器、限流、禁用HTTP/2连接复用速率。

关键词：黑客网站攻击；HTTP/2；快速重置；DDoS；渗透测试；CVE-2023-44487

---

一、引言

2023年，HTTP/2协议曝出严重DDoS漏洞，许多云服务商遭受大规模攻击。攻击者利用RST_STREAM帧快速取消请求，使服务器在最少的带宽下消耗大量计算资源。

二、攻击原理

• 攻击者发送单个TCP连接，随后并发发送大量HEADERS帧（请求）和立即的RST_STREAM帧。
• 服务器为每个请求分配资源（如解码头部、分配流ID），但在完成之前收到取消，仍需清理。
• 高频率下CPU和内存耗尽。
  
  

三、防御措施

• 升级到修复版本：所有主流代理（Nginx、Apache、Envoy）已发布补丁，限制每秒连接和并发流数。
• 禁用HTTP/2（临时方案）。
• 应用层速率限制：对单个源IP的RST_STREAM速率进行限制。
  
  

四、总结

零日漏洞在所难免，但及时更新和限流策略可以有效缓解此类攻击。