HTTP/2 Rapid Reset：互联网隐藏的“定时炸弹”(图文)

HTTP/2：互联网的加速引擎

在当今这个信息飞速流转的数字化时代，网页的加载速度已然成为用户体验的关键因素。想象一下，你满心期待地点击一个网页链接，结果页面却迟迟无法完全显示，那种焦急与无奈是不是很让人抓狂？这种等待的背后，HTTP 协议版本起着至关重要的作用。
HTTP 协议就像是网络世界里的快递员，负责在客户端（比如你的浏览器）和服务器之间传递各种信息。从诞生之初到现在，它已经历经了多个版本的更迭，每一次的升级都像是给这位快递员换上了更高效的装备。
HTTP/1.x 作为早期广泛使用的版本，为互联网的信息交互奠定了基础，但随着互联网内容日益丰富和复杂，它的局限性逐渐显现出来。就好比一位快递员，每次只能运送一个包裹，效率十分低下。在 HTTP/1.x 中，每个请求 - 响应周期都需要建立一个新的 TCP 连接，这就导致了大量的连接建立和关闭开销，不仅浪费时间，还消耗了宝贵的网络资源。同时，它还存在 “队头阻塞” 问题，就像一条单行道上，前面的车抛锚了，后面的车都得跟着堵在那儿，严重影响了数据传输的效率。而且，HTTP/1.x 的头部信息没有压缩，每次请求和响应都需要传输大量的重复头部信息，这无疑增加了网络传输的负担。
为了解决 HTTP/1.x 的这些痛点，HTTP/2 应运而生，它就像是一位装备了高科技的超级快递员，大大提升了网络数据传输的效率。HTTP/2 引入了多路复用技术，这意味着它可以在单个 TCP 连接上同时处理多个请求和响应，就像一条有多条车道的高速公路，不同的车辆（请求和响应）可以同时行驶，消除了队头阻塞问题，大大提高了性能和效率 。它采用二进制格式传输数据，相比 HTTP/1.x 的文本格式，二进制格式更易于解析和处理，就好比计算机能更快速地理解二进制语言，从而提升了数据传输的速度。HTTP/2 还引入了头部压缩机制 HPACK ，通过静态哈夫曼编码和动态表技术，有效地减少了头部信息的大小，节省了带宽，就像是给快递包裹进行了瘦身，让传输更加轻松快捷。此外，HTTP/2 还支持服务器推送，服务器可以主动向客户端推送资源，减少了客户端等待请求的时间，提高了页面的加载速度，就像快递员提前知道你可能需要的包裹，主动给你送过来一样。

快速重置：便捷功能背后的隐患

在 HTTP/2 的众多新特性中，快速重置（Rapid Reset）是一项非常实用的功能，它主要通过 RST_STREAM 帧来实现。RST_STREAM 帧就像是网络通信中的 “紧急刹车”，当客户端或服务器想要立即终止某个流的传输时，就可以发送 RST_STREAM 帧 。比如，当客户端发现请求的资源已经不再需要，或者服务器在处理请求时遇到了无法恢复的错误，如内存不足、资源不可用等情况，就可以利用 RST_STREAM 帧快速关闭对应的流，释放相关资源。
正常情况下，RST_STREAM 帧为客户端和服务端都带来了极大的便利。对于客户端而言，它可以及时止损，避免在不需要的请求上浪费时间和带宽。比如，当你在浏览网页时，突然改变主意不想加载某个图片或脚本了，客户端就可以发送 RST_STREAM 帧，让服务器停止传输这个资源，转而处理其他更重要的请求。对于服务端来说，RST_STREAM 帧能帮助它高效地管理资源。当服务器遇到异常请求，如恶意攻击、请求格式错误等，通过发送 RST_STREAM 帧，可以迅速中断与恶意客户端的连接，防止资源被进一步消耗，保证服务器的稳定运行 。
在实际的网络通信中，RST_STREAM 帧的应用非常广泛。以电商网站为例，当用户在购物车页面进行结算时，如果服务器发现用户的账户存在异常，如被冻结、余额不足等情况，就可以立即向客户端发送 RST_STREAM 帧，终止当前的结算请求流，同时返回相应的错误提示，引导用户解决问题。这样既能保护用户的权益，也能确保电商平台的交易安全 。又比如在在线视频播放场景中，如果客户端检测到网络状况突然变差，无法正常接收视频数据，它可以发送 RST_STREAM 帧，请求服务器重新发送数据或者切换到更低质量的视频流，以保证视频播放的流畅性。

漏洞揭秘：DDoS 攻击的新路径

（一）攻击原理剖析

HTTP/2 协议为了防止单个 TCP 连接上的请求过多导致服务器资源耗尽，引入了对单个 TCP 连接并发流数量的限制（max_concurrent_streams） 。正常情况下，这个限制可以有效地控制每个连接上的请求数量，就像一个交通路口设置了最大通行车辆数，避免交通拥堵。然而，H2 Rapid Reset DDoS 攻击却利用了 HTTP/2 快速重置机制的漏洞，巧妙地绕过了这个并发流限制 。
攻击者在发起攻击时，会借助自动化工具，控制大量的傀儡机（也就是我们常说的僵尸网络），向目标服务器发起海量的 HTTP/2 请求 。这些请求就像潮水一般涌来，每个请求都开启一个新的流。但攻击者并不会等待服务器对这些请求做出响应，而是在发送请求后，立即发送 RST_STREAM 帧来快速重置对应的流 。由于 HTTP/2 协议在统计并发流数量时，只计算处于 “OPEN”（打开）或 “Half-closed”（半关闭）状态下的流，而 “Closed”（关闭）状态的流并不计入并发数。攻击者通过快速重置流，使这些流迅速进入 “Closed” 状态，从而绕过了服务器对并发流数量的限制 。
服务器在接收到这些大量的请求和快速的重置帧后，就如同陷入了一个永无止境的忙碌循环。它需要不断地为每个请求分配资源进行处理，尽管这些请求很快就被重置，但在处理的过程中，服务器的 CPU、内存等资源已经被大量消耗 。随着攻击的持续进行，服务器的资源逐渐被耗尽，就像一个人不停地搬重物，最终体力不支，无法再正常工作。此时，服务器就无法再处理合法用户的正常请求，导致服务中断，造成了 DDoS 攻击的效果 。

（二）攻击威力实测

2023 年，谷歌、Cloudflare 和 AWS 等厂商监测到了利用 H2 Rapid Reset 进行的 DDoS 攻击，其中谷歌监测到的攻击峰值超过每秒 3.98 亿个请求，Cloudflare 追踪到的峰值时期每秒超过 2.01 亿个请求 ，这些数据都打破了互联网历史上应用层 DDoS 攻击的记录，其攻击规模之大令人震惊。
为了更直观地了解 H2 Rapid Reset DDoS 攻击的威力，火山引擎 Anit-DDoS 团队进行了一系列的测试 。他们基于 NGINX 搭建了 HTTP/2 Server 和 HTTP2 Proxy（反向代理）两种常见的业务场景 。在测试中，以 CPU 使用率作为量化攻击威力的重要指标，因为应用层 DDoS 攻击的主要目的就是耗尽服务端 CPU 资源 。
测试结果显示，在同等量级请求速率的前提下，H2 Rapid Reset DDoS 攻击不管在 H2 Server 还是 H2 Proxy 场景下，对服务端 CPU 的压力均略小于一般的 H2 应用层 DDoS 攻击 。这是因为快速 Reset 后 NGINX 马上终止了对攻击请求的处理，在一定程度上 “节省” 了服务端资源 。不过，尽管压力略小，但 H2 Rapid Reset DDoS 攻击仍具有相当大的威力，足以使服务器资源被大量消耗，从而影响服务的正常运行 。
在对反向代理架构的压力分析中发现，H2 Rapid Reset DDoS 攻击可阻塞反向代理集群中 TLS decryption -> 上层应用的通道，从而瘫痪代理对外服务能力 。当攻击者对目标域名发起 H2 Rapid Reset DDoS 攻击时，正常用户访问会由于阻塞问题，导致 Proxy 返回 “502 Bad Gateway” 错误，使得正常业务受损 。而且，这种攻击经过反向代理后会转化成对源站的 SYN + RST 的四层 DDoS，在特定场景甚至可转换成 TCP connection Flood，进一步扩大了攻击的影响范围和破坏力 。

应对策略：构建安全防线

面对 H2 Rapid Reset DDoS 攻击的威胁，我们不能坐以待毙，需要采取一系列有效的防范措施，从多个层面构建起坚固的安全防线 。

（一）服务器配置优化

合理调整服务器的配置参数是抵御攻击的基础。对于使用 NGINX 服务器的用户来说，可以开启对单 TCP 连接上的 HTTP/2 请求总数限制策略（keepalive_requests） 。这个策略就像一个 “限流阀门”，可以有效地限制每个 TCP 连接上的请求数量，即使攻击者利用快速重置绕过了并发流限制，也无法无限制地发送请求，从而降低了攻击的威力 。在 NGINX 的配置文件中，可以通过设置 “keepalive_requests [number]” 来调整这个限制值，[number] 为具体的请求数量，用户可以根据自己服务器的实际性能和业务需求来合理设置 。比如，对于一般的小型网站，设置为 100 - 200 之间可能就足够了；而对于大型的电商平台或高流量网站，则需要根据实际的并发情况进行更细致的调整 。

（二）软件更新与漏洞修复

及时更新服务器上的软件和应用程序是防范攻击的关键步骤。软件开发者通常会在发现漏洞后迅速发布安全补丁，以修复这些安全隐患 。以 HTTP/2 协议相关的软件为例，当 H2 Rapid Reset DDoS 漏洞被发现后，各大软件厂商都纷纷发布了对应的更新版本 。用户应密切关注软件供应商的官方通知，及时下载并安装这些更新 。比如，对于使用 Windows Server 系统的服务器，要定期开启自动更新功能，确保系统能够及时获取并安装微软发布的安全补丁 。对于其他开源软件，如 Apache、Nginx 等，要关注其官方社区的动态，及时更新到最新版本 。同时，在更新软件之前，一定要做好数据备份工作，以防更新过程中出现意外情况导致数据丢失 。

（三）网络安全设备部署

部署专业的网络安全设备是抵御 DDoS 攻击的重要手段。防火墙作为网络安全的第一道防线，可以对进出网络的流量进行严格的访问控制和过滤 。通过配置防火墙规则，只允许合法的 HTTP/2 流量通过，拦截异常的请求和大量的快速重置帧 。比如，可以设置防火墙规则，限制单个 IP 地址在短时间内发送的 RST_STREAM 帧数量，如果超过设定的阈值，就将该 IP 地址列入黑名单，暂时禁止其访问 。入侵检测系统（IDS）和入侵防御系统（IPS）也是非常有效的安全设备 。IDS 可以实时监测网络流量，发现潜在的攻击行为并及时发出警报；IPS 则更加强大，它不仅能够检测攻击，还能自动采取措施进行防御，如阻断攻击流量、重置连接等 。在部署 IDS 和 IPS 时，要根据网络架构和业务需求进行合理配置，确保它们能够准确地检测和防御 H2 Rapid Reset DDoS 攻击 。

（四）流量清洗与负载均衡

流量清洗服务可以实时监测网络流量，当检测到异常流量时，将其引流到专门的清洗设备进行处理，清洗掉其中的攻击流量后，再将正常流量回注到原网络中 。许多专业的云服务提供商都提供了流量清洗服务，用户可以根据自己的需求选择合适的服务套餐 。比如，阿里云的 DDoS 高防服务、腾讯云的大禹网络安全服务等，都能够有效地应对大规模的 DDoS 攻击 。负载均衡技术则可以将流量均匀地分配到多个服务器上，避免单个服务器因负载过高而无法正常工作 。通过负载均衡，即使部分服务器受到攻击，其他服务器仍然可以继续提供服务，从而保证了业务的连续性 。常见的负载均衡设备有 F5 负载均衡器、硬件负载均衡器等，也可以使用开源的软件负载均衡方案，如 Nginx 的负载均衡功能、HAProxy 等 。在选择负载均衡方案时，要综合考虑性能、成本、易用性等因素 。

未来展望：平衡创新与安全

HTTP/2 作为推动网络发展的重要协议，其快速重置功能在带来便捷的同时，也为 DDoS 攻击打开了方便之门 。H2 Rapid Reset DDoS 攻击的出现，给网络安全领域敲响了警钟，让我们深刻认识到在追求技术创新的道路上，安全问题不容忽视 。
随着互联网技术的不断发展，新的网络协议和应用场景不断涌现，这既为我们的生活和工作带来了更多的便利和可能性，也给网络安全带来了更大的挑战 。未来，我们需要在技术创新与安全防护之间找到平衡，不断探索和研发新的安全技术和策略 。
一方面，软件开发者和网络工程师们要更加注重协议和软件的安全性设计，从源头上减少安全漏洞的出现 。在设计新的网络协议或功能时，要充分考虑到可能面临的安全风险，进行全面的安全评估和测试 。就像 HTTP/2 在设计时，虽然引入了许多高效的特性，但对于快速重置功能可能被滥用的风险估计不足，导致了后来的安全问题 。未来的技术创新应该以 HTTP/2 的教训为鉴，将安全融入到每一个设计环节中 。
另一方面，网络安全行业需要不断提升安全防护技术和能力，以应对日益复杂多变的网络攻击 。人工智能、机器学习等新兴技术在网络安全领域有着巨大的应用潜力 。通过利用这些技术，我们可以实现对网络流量的实时监测和分析，更准确地识别出异常流量和攻击行为，及时采取有效的防御措施 。同时，我们还需要加强网络安全意识教育，提高广大用户和企业对网络安全的重视程度，让每个人都成为网络安全的守护者 。
在未来的网络世界里，技术创新与安全防护将是一场永不停歇的赛跑 。我们只有不断努力，在创新中保障安全，在安全的基础上推动创新，才能构建一个更加安全、稳定、高效的网络环境 。希望广大的网络技术爱好者和从业者们都能积极关注网络安全问题，共同为网络世界的安全贡献自己的力量 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。