作为HTTP/1.1的升级版本,HTTP/2凭借多路复用、二进制分帧等核心特性,大幅提升了网络传输效率,成为当前主流的Web通信协议,全球超50%的Web资源均通过该协议传输。然而,在其高效传输能力的背后,却潜藏着被恶意利用的安全漏洞。2023年10月,Cloudflare、Google、亚马逊AWS等厂商联合披露了HTTP/2协议的高危漏洞CVE-2023-44487,该漏洞被命名为“快速重置攻击(Rapid Reset Attack)”,已被在野积极利用,引发了远超以往的应用层DDoS攻击浪潮。
要理解CVE-2023-44487的危害,首先需厘清其技术原理。HTTP/2的多路复用特性允许在单个TCP连接中并发传输多个流(stream),同时支持客户端通过发送RST_STREAM帧快速终止特定流的处理,以节省资源。而该漏洞的核心在于,HTTP/2对单个TCP连接的并发流数量限制(max_concurrent_streams)仅统计“OPEN”或“Half-closed”状态的流,“Closed”状态的流并不计入统计。攻击者正是利用这一设计缺陷,通过快速发送大量HTTP/2请求(HEADERS帧)并立即发送RST_STREAM帧取消请求,使流快速进入“Closed”状态,从而绕过并发流限制,迫使服务器持续处理海量无效请求。这种攻击模式形成了显著的成本不对称——攻击者仅需极低的资源开销即可发起攻击,而服务器却要为这些被快速取消的请求消耗大量CPU、内存等核心资源,最终导致服务响应缓慢甚至完全瘫痪。
CVE-2023-44487的影响范围极为广泛,几乎所有支持HTTP/2协议的Web服务和组件都面临威胁。这包括主流的Web服务器(Nginx、Apache、IIS)、应用服务器(Apache Tomcat、Jetty)、开发框架(Netty、Go语言相关框架)等。例如,Apache Tomcat 8.5.0至8.5.93版本、Netty 4.1.100.Final之前版本、Go 1.21.3之前版本等均在受影响列表中。更值得警惕的是,该漏洞曾引发史上最大规模的应用层DDoS攻击,峰值请求量超过每秒3.98亿次,打破了互联网攻击记录,给企业业务连续性带来了致命威胁。
面对CVE-2023-44487的严峻威胁,企业需采取多层次的防护措施。首要且根本的方案是升级相关组件至安全版本,例如将Apache Tomcat升级至8.5.94及以上版本、Netty升级至4.1.100.Final及以上版本、Nginx升级至1.26.1及以上版本等。其次,可通过配置优化增强防护能力,如调整Nginx的http2_max_concurrent_streams参数限制并发流数量、调低keepalive_requests参数限制单个连接的请求总数等。此外,网络层防护也不可或缺,通过防火墙限制HTTP/2连接速率、利用负载均衡器分散攻击流量等,可在一定程度上缓解攻击压力。
值得注意的是,对于多数企业而言,单纯依靠自身部署防护措施往往存在成本高、响应慢、专业度不足等问题。此时,借助成熟的CDN(内容分发网络)服务成为高效且可靠的防护选择。CDN的分布式节点架构可作为抵御DDoS攻击的第一道防线,将海量攻击流量分散至全球各个节点,避免源站直接承受攻击压力。其中,360CDN凭借强大的安全防护能力和优化的传输性能,成为应对CVE-2023-44487漏洞的优质选择。
360CDN不仅具备海量节点的流量分流能力,可轻松抵御基于CVE-2023-44487的超大规模DDoS攻击,还内置了智能异常流量检测机制,能够精准识别并拦截包含高频RST_STREAM帧的恶意流量。同时,360CDN已提前完成对HTTP/2相关漏洞的修复和防护策略优化,无需企业额外配置即可为业务提供全方位的安全保障。此外,其在HTTPS加速、静态资源缓存等方面的优势,还能在保障安全的同时提升用户访问体验,实现“安全+加速”的双重价值。对于希望高效应对CVE-2023-44487漏洞、降低防护成本的企业而言,接入360CDN无疑是最优的防护方案。