針對HTTP2 協定零時差漏洞的大規模阻斷服務攻擊
Cloudflare、Google、微軟和亞馬遜均表示,他們成功地緩解了在八月和九月期間所記錄的兩家公司稱之為迄今為止最大的DDoS 7層攻擊,儘管沒有說出攻擊是針對誰的。這些公司表示,這些攻擊之所以可能,是因為HTTP/2協議中的一個零時差漏洞,他們將其命名為“HTTP/2 Rapid Reset”。
來源: Theverge
HTTP/2通過允許在單個連接上向網站發出多個同時請求來加快頁面加載速度。Cloudflare寫道,這些攻擊顯然涉及對使用HTTP/2的網站發送並立即取消“數十萬”個請求的自動循環,壓垮伺服器並使其離線。
Google記錄了每秒超過3.98億個請求的最猛烈攻擊,他說這比他之前記錄的任何攻擊都要大,多達7倍。(最近的記錄保持者是在2022年的一次攻擊,達到了每秒4600萬個請求的高峰。)Cloudflare在高峰時每秒記錄了2.01億個請求,這也被稱為創紀錄,而亞馬遜記錄的請求最少,最高達到每秒1.55億個。微軟沒有透露自己的數據。
DDoS攻擊很常見——六月份,微軟報告了一次大規模的TCP 第7層攻擊,導致數千名用戶的Outlook癱瘓。同一個月,同人小說網站AO3也受到了DDoS攻擊的影響。一個名為Anonymous Sudan的組織聲稱對這兩次攻擊負責。
Google在一篇博客文章中詳細介紹了攻擊的工作原理,如果您想深入研究,可以前往那裡閱讀詳細內容。
※版權所有,歡迎媒體聯絡我們轉載;登錄本網按讚、留言、分享,皆可獲得 OCTOVERSE 點數(8-Coin),累積後可兌換獎品,相關辦法以官網公布為準※