HTTP/2藏着大雷？CVE-2023-44487大起底(图文)

 

网络惊现超强攻击：HTTP/2 Rapid Reset

在互联网的广袤世界里，一场悄无声息却又极具破坏力的风暴正在席卷而来。2023 年 8 月下旬，一场基于 HTTP/2 协议的分布式拒绝服务（DDoS）攻击，如同一只隐藏在黑暗中的巨兽，开始露出它的獠牙。谷歌、亚马逊、Cloudflare 等行业巨头纷纷中招，其规模之大，令人咋舌。
据公开信息显示，谷歌遭遇的攻击峰值竟达到了每秒 3.98 亿次请求（RPS） ，这一数字是其此前遭遇的最大规模攻击的七倍之多；亚马逊在两天内遭遇了十几起 HTTP/2 快速重置攻击，最大峰值也达到了 1.55 亿 RPS；Cloudflare 检测到的攻击峰值同样惊人，达到了 2.01 亿 RPS，是其 2 月份报告的破纪录攻击的三倍。这些数字背后，是网络安全领域正在面临的一场严峻挑战。
而引发这一系列大规模攻击的幕后黑手，正是一个被标记为 CVE-2023-44487 的 HTTP/2 协议漏洞 ——HTTP/2 Rapid Reset 拒绝服务漏洞。这个漏洞就像是网络世界中的一颗定时炸弹，一旦被恶意利用，就会释放出巨大的破坏力，让众多网站和在线服务陷入瘫痪。

HTTP/2：网络协议的进化与隐患

在深入探讨 CVE-2023-44487 漏洞之前，我们有必要先了解一下 HTTP/2 协议的前世今生。HTTP 协议作为互联网的基础协议之一，经历了多次迭代升级。HTTP/1.1 长期以来在网络通信中占据着主导地位，然而，随着互联网应用的飞速发展，它的一些缺陷也逐渐暴露出来，如队头阻塞问题、头部信息冗余导致带宽浪费等。为了应对这些挑战，HTTP/2 应运而生。
HTTP/2 于 2015 年正式发布，它在 HTTP/1.1 的基础上进行了全面的优化和改进。HTTP/2 采用了二进制协议，将数据分割成更小的帧进行传输，这大大提高了数据的解析效率，就像将一份大文件拆分成多个小包裹，每个包裹都有清晰的标识，便于快速处理和组装 。同时，它引入了多路复用技术，允许在同一个 TCP 连接上同时传输多个请求和响应，不同的请求和响应可以交错进行，避免了 HTTP/1.1 中一个请求阻塞整个连接的 “队头阻塞” 问题，极大地提高了网络资源的利用率，就好比在一条高速公路上可以同时行驶多辆不同目的地的汽车，互不干扰。
头部压缩也是 HTTP/2 的一大亮点。它使用 HPACK 算法，通过建立静态和动态字典表来减少重复请求头的传输，并采用哈夫曼编码来压缩整数和字符串，有效地减少了头部信息的大小，节省了带宽。以我们日常浏览网页为例，HTTP/2 能记住常用的头部信息，后续请求相同头字段时，不再重复传输，而是使用压缩值，大大加快了传输速度。此外，HTTP/2 还支持服务器推送功能，服务器可以在客户端请求之前主动推送相关资源，如在客户端请求 HTML 文件时，服务器主动推送 CSS 和 JS 文件，减少了客户端请求的延迟，提高了页面加载速度 。
凭借这些显著的优势，HTTP/2 在现代网络中得到了广泛的应用。从大型的电商平台，如阿里巴巴、亚马逊，到视频流媒体服务，如 YouTube、Netflix，再到在线协同工具，如 Google Docs 等，都在使用 HTTP/2 来提升用户体验。据统计，截至目前，全球排名前 100 万的网站中，超过半数都已经支持 HTTP/2 协议。它已经成为推动互联网高效运行的重要力量，让我们能够更快速地获取信息，享受流畅的在线服务。然而，就像任何先进的技术一样，HTTP/2 也并非完美无缺，CVE-2023-44487 漏洞的出现，让我们看到了它潜在的安全风险。

CVE-2023-44487：撕开 HTTP/2 的安全裂缝

CVE-2023-44487 漏洞的核心在于对 HTTP/2 协议中请求取消和快速重置机制的恶意利用 。在 HTTP/2 协议中，为了提高传输效率和应对网络环境的复杂性，引入了一些机制，如请求取消（通过发送 RST_STREAM 帧来实现），允许客户端在不需要服务端响应时快速终止一个请求流 ，以释放资源和节省带宽。正常情况下，这些机制能够提升网络通信的灵活性和效率，但在恶意攻击者手中，却成为了发动 DDoS 攻击的有力武器。
攻击者利用这个漏洞发动攻击的过程可以简单描述为：攻击者控制大量的客户端（通常是通过僵尸网络，将大量被感染的设备变成攻击工具），向目标服务器发起大量的 HTTP/2 请求 。这些请求以极快的速度被发送，并且在发送后立即通过发送 RST_STREAM 帧进行重置，取消请求。服务器在接收到这些请求时，会按照协议规则进行处理，为每个请求分配资源，开始解析和处理请求头信息等操作 。然而，由于请求被迅速取消，服务器在短时间内被大量的无效请求淹没，不断地处理这些瞬间被取消的请求，导致服务器的资源（如 CPU、内存、网络带宽等）被大量消耗。
更为关键的是，HTTP/2 协议中虽然设置了一些限制机制，如限制并发流的数量，以防止恶意的请求耗尽服务器资源 。但攻击者通过快速重置请求的方式，巧妙地绕过了这些限制。因为在协议中，并发流数量的统计通常只计算处于 “OPEN” 或 “Half-closed” 状态的流，而一旦流被快速重置进入 “Closed” 状态，就不再计入并发流数量 。这就使得攻击者能够在短时间内发送远超服务器承载能力的请求，而服务器却无法有效地进行限制和防御。
举个例子，假设一个服务器设置的最大并发流数量为 1000，正常情况下，它可以稳定地处理这 1000 个并发请求 。但攻击者利用 CVE-2023-44487 漏洞，通过快速发送请求并重置，在极短的时间内发送了数万个请求，由于这些请求被迅速重置，它们虽然占用了服务器处理资源，却没有被统计在并发流限制范围内，服务器就会在毫无防备的情况下被这些大量的无效请求拖垮，最终导致拒绝服务，无法正常为合法用户提供服务。 这种攻击方式的隐蔽性和高效性，使得它成为了网络安全领域的一大威胁，也让众多依赖 HTTP/2 协议的网站和服务陷入了危险之中。

攻击实例与影响：数字背后的网络危机

CVE-2023-44487 漏洞引发的攻击，其影响范围之广、破坏力之强，在众多实际案例中得到了充分的体现。
在 2023 年 8 月下旬的那场大规模攻击中，一家知名在线游戏平台成为了受害者之一。攻击者利用该漏洞，在短短数小时内，向游戏平台的服务器发送了数以亿计的 HTTP/2 请求，且这些请求均被迅速重置 。攻击开始后不久，游戏平台的服务器 CPU 使用率瞬间飙升至 100%，内存资源也被迅速耗尽，导致游戏服务器无法正常处理玩家的登录请求和游戏内的交互操作。大量玩家在登录游戏时遭遇长时间的等待，甚至出现无法登录的情况，游戏内的玩家也频繁出现卡顿、掉线等异常现象 。此次攻击持续了整整六个小时，据游戏平台事后统计，期间共有超过 500 万玩家受到影响，玩家在线时长大幅减少，游戏内的活跃度降至冰点。由于无法正常提供游戏服务，该游戏平台不仅遭受了巨大的经济损失，还面临着玩家的大量投诉和信任危机 。
另一个典型案例发生在一家大型电商企业。在购物节前夕，该电商平台的流量本就处于高峰期，然而此时却遭到了 HTTP/2 Rapid Reset 攻击。攻击者通过精心策划，控制大量僵尸网络，向电商平台的服务器发起密集的攻击请求。攻击期间，服务器每秒收到的请求量高达数千万次，远远超出了服务器的承载能力 。这导致电商平台的页面加载缓慢，商品搜索功能无法正常使用，购物车和支付流程也频繁出错。许多用户在购物过程中遇到各种问题，纷纷放弃购买，转投其他电商平台。据统计，此次攻击导致该电商平台在购物节期间的销售额同比下降了 30%，直接经济损失高达数千万元 。同时，电商平台的品牌形象也受到了严重损害，用户满意度大幅降低，后续的用户留存和拉新工作面临巨大挑战。
这些攻击实例并非个例，还有许多中小型网站和服务提供商也未能幸免。根据网络安全机构的统计数据显示，在 CVE-2023-44487 漏洞被披露后的一个月内，全球范围内检测到的利用该漏洞的攻击事件超过了 10 万起 ，涉及金融、电商、社交媒体、在线教育等多个行业。这些攻击不仅导致大量网站和服务中断，影响了数以亿计用户的正常访问，还造成了巨大的经济损失。据估算，全球因这些攻击所遭受的直接和间接经济损失高达数十亿美元 。此外，这些攻击还引发了一系列连锁反应，如企业数据泄露风险增加、供应链中断、社会舆论恐慌等，对整个互联网生态系统的稳定和安全构成了严重威胁 。

受影响的组件与范围：排查你的网络防线

CVE-2023-44487 漏洞的影响范围极为广泛，众多使用 HTTP/2 协议的组件和服务都面临着风险。以下是一些常见的受影响组件及其版本范围 ：

• Apache Tomcat：11.0.0-M1 至 11.0.0-M11 版本、10.1.0-M1 至 10.1.13 版本、9.0.0-M1 至 9.0.80 版本、8.5.0 至 8.5.93 版本。Apache Tomcat 作为一款广泛使用的 Java Web 应用服务器，许多企业级应用和网站都基于它搭建，这些版本的 Tomcat 一旦受到攻击，可能导致整个应用服务中断 。

• Go：小于 1.21.3 和小于 1.20.10 版本。Go 语言以其高效、简洁的特性在网络编程和云计算等领域应用广泛，基于这些低版本 Go 语言开发的网络服务和应用程序，容易受到漏洞攻击的影响 。

• grpc-go：小于 1.58.3、小于 1.57.1、小于 1.56.3 版本。grpc-go 是 Go 语言的 gRPC 实现，gRPC 作为一种高性能、开源的远程过程调用（RPC）框架，被大量分布式系统所采用，受影响版本的 grpc-go 可能会使分布式系统的通信出现故障，进而影响整个系统的稳定性 。

• Jetty：小于 12.0.2、小于 10.0.17、小于 11.0.17、小于 9.4.53.v20231009 版本。Jetty 是一个开源的 servlet 容器，提供了 HTTP 和 HTTP/2 协议的支持，常用于开发和部署 Web 应用，受影响版本在面对攻击时，无法保障 Web 应用的正常运行 。

• Netty：小于 4.1.100.Final 版本。Netty 是一个高性能的网络应用框架，在许多网络通信相关的项目中被广泛使用，低版本的 Netty 由于漏洞影响，可能在网络传输过程中遭受攻击，导致数据丢失或服务中断 。

• nghttp2：小于 v1.57.0 版本。nghttp2 是一个实现 HTTP/2 协议的 C 库，许多软件和服务依赖它来提供 HTTP/2 支持，受影响版本的 nghttp2 无法有效抵御攻击，可能使依赖它的软件和服务陷入瘫痪 。

• Apache Traffic Server：8.0.0 至 8.1.8 版本、9.0.0 至 9.2.2 版本。Apache Traffic Server 是一款高性能的缓存和代理服务器，常用于内容分发网络（CDN）等场景，这些版本的 Traffic Server 如果受到攻击，会影响 CDN 服务的正常运行，导致网站内容无法快速、准确地分发给用户 。

如果你正在使用上述组件，且版本在受影响范围内，务必立即进行自查和评估。检查你的服务器日志，查看是否有异常的大量 HTTP/2 请求和 RST_STREAM 帧出现 。同时，密切关注服务器的性能指标，如 CPU 使用率、内存占用、网络带宽等，一旦发现异常升高，很可能是受到了攻击。及时采取措施进行防护和修复，是保障网络安全的关键。

修复与防范策略：筑牢网络安全堡垒

面对 CVE-2023-44487 这样的严重漏洞，及时采取有效的修复与防范措施至关重要。各大组件供应商和安全机构纷纷行动起来，给出了一系列应对建议 。
对于受影响的组件，最直接有效的方法就是升级到官方发布的最新版本。以 Apache Tomcat 为例，将其升级到 11.0.0-M12 及以上版本、10.1.14 及以上版本、9.0.81 及以上版本、8.5.94 及以上版本，就可以修复相关漏洞 。同样，Go 语言需要升级到 1.21.3 及以上版本、1.20.10 及以上版本；grpc-go 需要升级到 1.58.3 及以上版本、1.57.1 及以上版本、1.56.3 及以上版本；Jetty 需要升级到 12.0.2 及以上版本、10.0.17 及以上版本、11.0.17 及以上版本、9.4.53.v20231009 及以上版本；Netty 需要升级到 4.1.100.Final 及以上版本；nghttp2 需要升级到 v1.57.0 及以上版本；Apache Traffic Server 需要升级到 8.1.9 及以上版本、9.2.3 及以上版本 。通过升级组件版本，能够利用官方修复的安全补丁，从根本上解决漏洞问题。
在企业层面，配置防火墙是一道重要的防线。可以设置防火墙规则，限制来自单个 IP 地址的 HTTP/2 连接数量 。比如，将单个 IP 地址在短时间内的连接数限制在合理范围内，如每分钟不超过 100 个连接，这样可以有效防止攻击者利用大量僵尸网络发起密集攻击 。同时，启用防火墙的入侵检测和防御功能，实时监控 HTTP/2 流量，一旦检测到异常的大量快速重置请求，立即进行拦截和报警 。
负载均衡器在防范攻击中也能发挥关键作用。合理设置负载均衡器的规则，对 HTTP/2 请求进行严格的过滤和验证 。例如，检查请求头信息的合法性，拒绝那些包含异常字段或格式错误的请求；设置请求频率限制，对超过一定频率的请求进行限流处理，确保后端服务器不会被大量无效请求淹没 。一些高级的负载均衡器还具备智能识别攻击模式的能力，能够自动学习正常流量的特征，当检测到异常流量时，及时采取措施进行防护，如将恶意流量引流到专门的清洗中心进行处理。
个人用户在使用网络服务时，也需要提高安全意识。尽量避免访问来源不明的网站，这些网站可能存在安全风险，容易受到攻击并导致用户信息泄露 。及时更新浏览器和操作系统等软件，因为软件开发商通常会在更新中修复已知的安全漏洞，保持软件的最新版本能够有效降低被攻击的风险 。例如，Chrome 浏览器会定期推送安全更新，用户应及时安装，以保障自身的网络安全 。此外，使用安全可靠的网络连接，如避免在公共无线网络中进行敏感信息的传输，防止攻击者通过网络嗅探获取个人数据。
总之，修复与防范 CVE-2023-44487 漏洞需要各方共同努力，从组件升级到网络防护，再到个人安全意识的提升，每一个环节都不容忽视。只有这样，我们才能在这场网络安全保卫战中取得胜利，保障互联网的安全与稳定。

总结与展望：网络安全永不止步

HTTP/2 Rapid Reset 拒绝服务漏洞（CVE-2023-44487）的出现，无疑给网络安全领域敲响了一记沉重的警钟。它让我们看到，即使是被广泛应用且看似成熟的网络协议，也可能存在隐藏的安全隐患，一旦被恶意利用，就会引发大规模的网络攻击，给企业和用户带来巨大的损失 。从大型互联网企业遭受的攻击实例，到众多受影响的组件和服务，我们深刻认识到网络安全风险的无处不在和防范的紧迫性。
在这个数字化时代，网络安全已经成为国家安全、经济发展和社会稳定的重要基石 。没有网络安全，就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。每一次网络安全事件的发生，都可能导致个人隐私泄露、企业商业机密被盗、关键基础设施瘫痪等严重后果，影响深远。因此，我们必须高度重视网络安全，将其作为一项长期而艰巨的任务，常抓不懈。
展望未来，随着互联网技术的不断发展，如人工智能、物联网、5G 等新技术的广泛应用，网络安全将面临更多新的挑战和机遇 。一方面，新技术的应用将带来更多的网络节点和攻击面，使得网络安全防护变得更加复杂。例如，物联网设备的大量接入，可能会因为设备本身的安全漏洞或弱密码等问题，成为攻击者入侵网络的入口；人工智能技术在网络攻击中的应用，可能会使攻击手段更加智能化、隐蔽化，难以被检测和防范 。另一方面，这些新技术也为网络安全提供了新的解决方案和工具。人工智能可以通过机器学习算法，实时分析海量的网络数据，快速准确地检测出异常行为和潜在的安全威胁，实现智能化的安全防护；区块链技术的去中心化和不可篡改特性，可以用于构建更加安全可靠的身份认证和数据存储系统，增强网络安全的可信度 。
为了应对未来网络安全的挑战，我们需要不断加强技术创新，推动网络安全技术的自主可控发展 。加大对网络安全技术研发的投入，培养更多专业的网络安全人才，鼓励产学研合作，促进网络安全技术的成果转化和应用。同时，还需要完善网络安全法律法规和标准体系，加强网络安全监管，明确各方的责任和义务，规范网络空间行为 。此外，国际间的网络安全合作也至关重要，各国应加强交流与协作，共同应对全球性的网络安全威胁，构建和平、安全、开放、合作的网络空间命运共同体 。
网络安全永不止步，我们每个人都应成为网络安全的守护者。无论是企业还是个人，都要时刻保持警惕，增强安全意识，采取有效的防范措施，共同筑牢网络安全的防线，让互联网更好地为人类服务。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。