关于针对 HTTP/2 协议漏洞的 DDoS 攻击防护
概述
2023 年 9 月起,EdgeOne 关注到新型 HTTP DDoS 攻击,利用了新的 HTTP/2 协议漏洞。该漏洞(CVE-2023-44487)对使用 HTTP/2 协议提供共用服务的 Web 服务和应用造成安全威胁。EdgeOne 的反向代理架构和安全策略能够有效隔离并缓解该类 DDoS 攻击造成的风险。
利用该漏洞的 DDoS 攻击也被称为“HTTP/2 高频重连攻击”( HTTP/2 Rapid Reset Attack),通过 HTTP/2 协议机制对有缺陷的 HTTP/2 应用发起攻击。 EdgeOne 的反向代理架构和 HTTP/2 的实现方式中,已针对 HTTP/2 协议的这一特性提供了相应隔离和缓解机制。
从已知信息和漏洞行为判断,利用该漏洞的攻击形式为 DDoS 攻击,影响 HTTP/2 应用服务的可用性;单独利用该漏洞的攻击不会造成业务数据泄露。目前也尚无证据表示有任何客户信息由于该漏洞导致泄露。
攻击详情
攻击者可以利用该 HTTP/2 协议漏洞对 HTTP/2 应用服务发起 DDoS 攻击。攻击方通过先大量发送 HEADERS 帧,然后再大量发送 RST_STREAM 帧的模式,能够在短时间内对 HTTP/2 应用服务产生大量流量。通过利用 HTTP/2 的连接机制(详情请参考 RFC9113: HTTP/2 中,HTTP/2 Stream 生命周期和状态转换机制),攻击方可以在同一 TCP 连接中大量发送 HEADERS 和 RST_STREAM 帧,从而导致有缺陷的 HTTP/2 应用服务 CPU 高负载,耗尽服务资源。
针对 CVE-2023-44487 的防护
该攻击是针对应用层协议(七层协议)的 DDoS 攻击,EdgeOne 已针对应用层协议的代理架构和安全策略进行了优化和加固,保护使用 EdgeOne 的 Web 应用服务。 EdgeOne 的反向代理架构和 HTTP/2 实现方式可以有效隔离利用该漏洞的攻击造成的业务可用性风险。与此同时,EdgeOne 也会持续关注新的安全威胁并评估安全策略,持续优化防护效率。
我们建议您:
检查您的源站和 HTTP/2 服务架构,及时更新安全漏洞补丁,缓解利用该漏洞的 DDoS 攻击风险。
配置安全防护策略,启用并配置速率限制规则。 EdgeOne 的速率限制可以针对 HTTP DDoS 攻击在内的应用层安全威胁提供有效防护。
如果您无法为源站更新安全漏洞补丁,建议您启用源站防护 功能,仅允许来自 EdgeOne 的回源请求。避免攻击者通过直接访问源站服务器的方式发起攻击。
使用 EdgeOne 提供的 HTTP 安全防护
缓解造成源站可用性下降的高频 DDoS 攻击。您可以启用 CC 攻击防护 规则,动态识别并缓解高危的 HTTP DDoS 攻击。
拦截有恶意访问历史的 IP 或者 CIDR 网段。您可以通过配置 自定义规则,拦截指定 IP 列表或者 CIDR 网段列表。
限制允许访问服务区域。您可以通过配置 自定义规则,拦截指定业务区域以外的访问。
管控资源消耗。您可以通过配置 速率限制 规则,缓解高频访问造成的资源消耗。我们建议您对对全局或者指定业务范围以外区域的高频请求进行速率限制,控制资源消耗。
说明:
注 1:基于 JA3 指纹的速率限制选项需要订阅 Bot 管理服务。
拦截高风险 Bot 访问行为。您可以启用并配置 Bot 智能分析,该功能会动态识别 Bot 行为并标识请求,帮助您识别并拦截恶意 Bot 访问。
拦截来自高危客户端的访问。您可以启用并配置 客户端画像分析,该功能会通过持续更新的 IP 威胁情报,帮助您识别并拦截高危客户端。