HTTP/2暗藏危机：CVE-2023-44487深度剖析(图文)

HTTP/2：从升级到危机

在互联网飞速发展的今天，网络传输效率对于用户体验起着至关重要的作用。HTTP/2 协议的出现，犹如一场及时雨，为提升网络传输效率带来了革命性的变化。它是 HTTP/1.1 的升级版本，在多个方面进行了优化和改进。
与 HTTP/1.1 相比，HTTP/2 有着诸多显著优势。在传输方式上，HTTP/1.1 采用文本协议，所有的请求和响应消息都以文本形式传输，而 HTTP/2 基于二进制协议，引入了二进制帧层，消息被分割为更小的帧，再通过二进制格式传输 ，这使得传输更加紧凑、高效、可靠，且不容易出错。就好比 HTTP/1.1 是用大箱子装货物运输，而 HTTP/2 把货物拆分成小包裹，用二进制的 “特殊包装” 来运输，不仅运输效率提高，还减少了出错的概率。
在多路复用方面，HTTP/1.1 虽然支持持久连接，但在同一连接上只能同时发送一个请求，客户端在等待前一个请求完成后才能发送下一个请求，这就导致了队头阻塞问题，严重影响并发性能。而 HTTP/2 通过多路复用技术，允许在同一个 TCP 连接上同时发送多个请求和响应，每个请求和响应被拆分成多个独立的帧，交错传输 。这就好像一条高速公路上，HTTP/1.1 时期只能一辆车一辆车按顺序通过，一旦前面的车出了问题，后面的车都得等着；而 HTTP/2 时期，多辆车可以同时在不同车道行驶，互不干扰，大大提高了连接的利用率和传输效率。
HTTP/2 还使用 HPACK 算法对头部数据进行压缩，并且会记住已经传输过的头部，避免每次请求都重复发送相同的头部数据 ，这大大减少了数据传输量，提升了网络效率。同时，它支持服务器推送，服务器可以在客户端请求某个资源时，主动将该资源关联的其他资源（例如 CSS、JavaScript 文件）推送给客户端，减少客户端等待的时间，提升页面加载速度 。此外，客户端还可以为不同的请求设定优先级，服务器根据优先级来调度请求的处理顺序，优先加载关键内容，提升用户体验。
然而，HTTP/2 在带来高效传输的同时，也并非一帆风顺。CVE-2023-44487 漏洞的出现，给 HTTP/2 的安全性蒙上了一层阴影，让这个原本为提升网络体验而诞生的协议陷入了危机。

CVE-2023-44487：危险降临

CVE-2023-44487，这个编号背后隐藏着的是 HTTP/2 协议的一个严重设计缺陷，它就像一颗隐藏在暗处的定时炸弹，给众多网络服务带来了巨大的安全威胁。这一漏洞本质上是利用了 HTTP/2 协议中流控制机制的不完善，从而为攻击者打开了方便之门。
在 HTTP/2 协议中，每个请求和响应都在一个独立的流（stream）中传输，而流又被拆分成多个帧（frame）进行发送。攻击者正是利用了这一特性，通过精心构造的 HEADERS 帧和 RST_STREAM 帧来发起攻击。HEADERS 帧包含了 HTTP 请求的头部信息，如请求方法、URL、头部字段等 ，它在建立请求流时发挥着重要作用；RST_STREAM 帧则用于立即终止一个流，当服务器收到 RST_STREAM 帧时，会立即停止处理该流对应的请求 。
攻击者的攻击过程犹如一场精心策划的 “闪电战”。他们会持续且大量地向目标服务器发送 HEADERS 帧，迅速建立大量的请求流，在服务器还来不及处理这些请求时，紧接着发送 RST_STREAM 帧来取消这些请求流 。由于 HTTP/2 协议在处理这些快速重置的请求流时，无法有效区分正常请求和恶意请求，服务器会不断地分配资源来处理这些看似正常的请求，却在收到 RST_STREAM 帧后又不得不放弃处理 。如此反复，服务器的资源被大量消耗，就像一个人被不断地要求做无用功，最终精疲力竭。
随着攻击者不断重复这一过程，服务器的资源迅速被耗尽。服务器的 CPU 使用率急剧上升，就像一个高速运转的机器，长时间超负荷工作，最终导致过热而罢工；内存也被大量占用，使得正常的服务请求无法得到足够的资源来处理 。此时，服务器就像陷入了一个恶性循环，无法响应合法用户的请求，造成了服务拒绝的严重后果。大量的用户在访问受影响的网站或服务时，会遭遇页面加载缓慢、超时甚至无法访问的情况，就像走进了一个被封锁的城堡，无法获取里面的资源。

广泛的影响范围

CVE-2023-44487 漏洞就像一颗投入平静湖面的巨石，泛起的涟漪波及到了众多常见的网络组件和技术栈，其影响范围之广令人咋舌。
在 Java 开发领域，著名的 Web 应用服务器 Apache Tomcat 有多个版本深受其害 。从 11.0.0-M1 到 11.0.0-M11，10.1.0-M1 到 10.1.13，9.0.0-M1 到 9.0.80，8.5.0 到 8.5.93 这些版本区间，都存在遭受攻击的风险。Apache Tomcat 在企业级应用开发中被广泛使用，许多大型网站、电子商务平台、在线办公系统等都基于它构建。一旦这些使用受影响版本 Tomcat 的应用服务器被攻击，整个业务系统都可能陷入瘫痪，用户无法正常访问网站、下单购物、处理办公事务，给企业带来巨大的经济损失和声誉影响 。
Go 语言作为近年来备受青睐的编程语言，其早期版本也未能幸免。Go 版本小于 1.21.3 和 1.20.10 的应用程序，在网络通信中如果涉及 HTTP/2 协议，就可能成为攻击者的目标 。Go 语言常用于开发高并发、分布式的网络服务，如云计算平台的后端服务、分布式数据库的客户端等 。这些服务一旦因漏洞遭受攻击，可能导致云服务无法正常提供资源分配、数据存储和计算服务，分布式数据库无法响应客户端的读写请求，影响范围将不仅仅局限于单个应用，而是可能波及整个基于这些服务构建的生态系统 。
grpc-go 是 Go 语言的一个高性能、通用的 RPC 框架，常用于构建微服务架构。然而，grpc-go 小于 1.58.3、1.57.1 和 1.56.3 的版本也存在漏洞隐患 。在微服务架构中，各个服务之间通过 grpc-go 进行通信和协作，实现复杂的业务逻辑。如果其中一个微服务使用了受影响的 grpc-go 版本，攻击者就有可能利用漏洞破坏服务之间的通信，导致整个微服务系统的崩溃，使得依赖这些微服务的前端应用无法获取数据，用户体验急剧下降 。
在 Java Web 开发中，jetty 也是常用的 Servlet 容器和 HTTP 服务器。jetty 小于 12.0.2、10.0.17、11.0.17 以及 9.4.53.v20231009 的版本都在受影响之列 。许多小型 Web 应用、开发测试环境以及一些特定的企业级应用可能会使用 jetty 作为基础组件。一旦这些应用所依赖的 jetty 版本存在漏洞，攻击者就可以通过发送恶意请求，使应用无法正常响应，破坏开发测试的正常进行，或者影响企业级应用的稳定运行 。

案例警示：攻击实例

为了让大家更直观地感受 CVE-2023-44487 漏洞带来的危害，我们来看一个真实发生的攻击实例。Cloudflare 作为一家知名的网络安全服务提供商，为众多网站和在线服务提供防护，然而它也曾遭受过大规模的 DDoS 攻击，其中就涉及到利用类似漏洞的攻击手段 。
在这次攻击中，攻击者来势汹汹，攻击规模达到了令人震惊的程度。攻击流量持续攀升，在高峰时段，每秒的攻击流量高达 3.8Tbps ，大量的恶意请求如潮水般涌向 Cloudflare 的服务器。这些请求并非普通的访问请求，而是经过精心构造的，利用了 HTTP/2 协议漏洞的恶意请求。
攻击造成的影响极其严重。许多依赖 Cloudflare 服务的网站和在线服务无法正常运行，用户在访问这些网站时，页面长时间处于加载状态，最终弹出 “无法访问此网站”“请求超时” 等错误信息 。一些电商平台的用户无法正常浏览商品、下单购买，在线教育平台的学生无法正常上课，企业的办公系统无法正常登录和处理业务，这给企业和用户带来了极大的困扰和损失 。
Cloudflare 的服务器在遭受攻击后，资源被迅速耗尽。CPU 使用率瞬间飙升至接近 100%，服务器就像一个被过度压榨的工人，不堪重负；内存也被大量占用，导致系统运行缓慢，甚至出现死机的情况 。尽管 Cloudflare 拥有强大的防护机制，但在如此大规模的攻击下，也一度陷入了困境，经过紧急调配资源、启用备用防护措施等一系列操作，才逐渐抵御住了攻击，恢复了服务的正常运行 。
这个案例充分凸显了 CVE-2023-44487 漏洞的巨大危害，它不仅仅是一个技术上的漏洞，更是可能导致企业业务中断、用户体验受损、经济损失惨重的 “定时炸弹”。无论是大型企业还是小型网站，都不能对这样的漏洞掉以轻心，必须采取有效的防护措施来应对潜在的攻击威胁 。

防范与修复指南

面对 CVE-2023-44487 这样的严重漏洞，及时采取有效的防范与修复措施至关重要，这不仅关系到网络服务的正常运行，更关系到用户数据的安全和企业的声誉。
官方修复建议是最为直接有效的应对方法。对于受影响的软件组件，各官方已积极行动起来，发布了最新版本来修复漏洞。以 Apache Tomcat 为例，建议将版本升级到 11.0.0-M12 及以上、10.1.14 及以上、9.0.81 及以上、8.5.94 及以上 ，这些新版本针对漏洞进行了针对性的修复，增强了服务器的安全性。Go 语言用户应将版本升级到 1.21.3、1.20.10 及以上，grpc-go 的用户需将版本更新到 1.58.3、1.57.1、1.56.3 及以上 ，jetty 的用户则要升级到 12.0.2 、10.0.17、11.0.17、9.4.53.v20231009 及以上 。及时升级到最新版本，就像是给服务器穿上了一层坚固的铠甲，能够抵御已知的攻击威胁。
除了升级软件版本，我们还可以采取一系列额外的防范措施来增强系统的安全性。首先，对 Web 服务器的流量进行实时监测分析是必不可少的。通过专业的流量监测工具，我们可以及时发现异常的流量波动，例如短时间内大量的请求来自同一个 IP 地址，或者请求的频率远远超出正常范围。一旦发现这些异常情况，立即使用防火墙来阻断那些对 Web 服务器发起异常连接的 IP ，就像在城堡的城门前设置了守卫，阻止可疑人员进入。
启用 WAF（Web 应用防火墙）或 IPS（入侵防御系统）的速率限制功能，也是降低 Web 服务器负担的有效手段。WAF 和 IPS 可以对进入服务器的请求进行过滤和限制，当检测到某个 IP 地址的请求速率过高时，就会对其进行限制，例如暂时禁止该 IP 访问一段时间，或者降低其请求的优先级 。这样可以有效地防止攻击者通过大量的恶意请求耗尽服务器资源，让服务器能够将资源合理分配给合法的用户请求。
配置 Web 服务，限制客户端的最大连接数也是一种简单而有效的防范方法。在服务器的配置文件中，可以设置一个合理的最大连接数，例如将每个客户端的最大连接数限制为 100 个 。当客户端的连接数达到这个限制时，服务器将不再接受该客户端的新连接请求，直到有已建立的连接断开。这样可以避免攻击者通过建立大量的连接来消耗服务器资源，确保服务器有足够的资源来处理正常的业务请求 。
在面对 CVE-2023-44487 漏洞时，我们不能掉以轻心，要综合运用官方修复建议和各种防范措施，构建起一道坚固的安全防线，保护网络服务的稳定运行和用户数据的安全 。

安全未来：反思与展望

CVE-2023-44487 漏洞事件为我们敲响了一记沉重的警钟，它让我们深刻认识到网络安全并非一劳永逸，而是一场需要持续投入和高度警惕的持久战。这个漏洞利用 HTTP/2 协议流控制机制的不完善，对众多网络服务发起攻击，导致服务器资源耗尽，服务拒绝，给企业和用户带来了巨大的损失 。
从此次事件中，我们必须深刻反思当前网络安全防护体系存在的不足。在技术层面，虽然 HTTP/2 协议为网络传输带来了高效性，但在设计之初可能并未充分考虑到所有潜在的安全风险，这提醒我们在追求技术创新的同时，不能忽视安全的基石 。对于开发者和系统管理员来说，不能仅仅依赖于软件的默认设置，而需要深入了解所使用的技术栈，及时发现并修复潜在的安全漏洞 。
网络安全意识的提升同样至关重要。无论是企业还是个人用户，都应该认识到网络安全不仅仅是技术人员的责任，而是与每个人息息相关 。企业应加强员工的网络安全培训，提高他们对网络攻击的识别和防范能力；个人用户在日常上网时，也应保持警惕，避免访问不明来源的网站，不轻易点击可疑链接 。
展望未来，我们需要持续关注网络协议的安全问题。随着互联网技术的不断发展，新的协议和技术将不断涌现，同时也可能带来新的安全隐患 。我们要建立起一套完善的网络安全监测和预警机制，及时发现并通报新出现的漏洞，以便开发者和用户能够迅速采取应对措施 。
及时更新软件和系统版本也是保障网络安全的关键。软件开发者应积极修复已知漏洞，发布安全更新，用户和企业则要养成定期更新的习惯，确保使用的软件始终处于安全状态 。只有通过各方的共同努力，我们才能在不断变化的网络环境中，构建起一个坚固的网络安全防线，保护我们的网络世界免受攻击的威胁 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。