HTTP/2 Rapid Reset：互联网安全的新挑战？(图文)

互联网安全风云突变

最近，互联网世界可谓是暗流涌动，一场大规模的 DDoS 攻击事件搅得网络世界不得安宁。各大互联网巨头纷纷中招，一时间，网络服务中断、用户访问受阻等问题层出不穷，就像平静的湖面被投入了一颗巨石，激起千层浪。其中，一种名为 HTTP/2 Rapid Reset 的攻击手法崭露头角，成为了这场网络风暴的主角，让众多网络安全专家和从业者们绷紧了神经。它的出现，打破了原有的网络安全格局，让人们意识到，在这个数字化时代，网络安全的威胁从未如此迫近。今天，咱们就一起来深入了解一下这个 HTTP/2 Rapid Reset，看看它究竟为何能掀起如此大的波澜。

HTTP/2 协议：高效与风险并存

（一）HTTP/2 协议简介

HTTP/2 协议的诞生，可谓是互联网发展历程中的一个重要里程碑。随着互联网的迅猛发展，网页内容日益丰富和复杂，HTTP/1.x 协议的局限性愈发凸显，如队头阻塞问题严重影响页面加载速度，头部冗余导致带宽浪费，传输效率低下等。为了满足日益增长的网络需求，HTTP/2 应运而生。它基于 Google 的 SPDY 协议发展而来，并在 2015 年被互联网工程任务组（IETF）标准化 。
HTTP/2 在提升网络传输效率方面做出了诸多改进，其中二进制分帧和多路复用技术尤为突出。二进制分帧层是 HTTP/2 的核心，它将所有传输的信息分割为更小的帧，并采用二进制格式进行编码，使得协议解析更加高效。而多路复用技术则允许在同一个 TCP 连接上同时传输多个请求和响应，每个请求和响应都被分配一个唯一的流 ID，通过流 ID 来区分不同的请求和响应，避免了 HTTP/1.x 中的队头阻塞问题，大大提高了并发性能。举个例子，当我们在浏览器中加载一个包含多个图片、脚本和样式表的网页时，HTTP/2 可以让这些资源的请求和响应在同一个 TCP 连接上并行交错进行，而不需要像 HTTP/1.x 那样为每个请求建立一个新的连接，从而显著加快了页面的加载速度。 除此之外，HTTP/2 还引入了头部压缩（HPACK 算法）、服务器推送等特性，进一步提升了网络传输性能和用户体验。

（二）HTTP/2 的 “流” 与 “重置” 机制

在 HTTP/2 中，“流” 是一个非常重要的概念。简单来说，流就是存在于连接中的一个虚拟通道，它可以承载双向消息，每个流都有一个唯一的整数 ID。可以把它想象成是一个虚拟的 “数据流管道”，在这个管道里流动着的是 HTTP 请求和响应的相关数据，这些数据被分割成一个个的帧进行传输。多个流可以在同一个 TCP 连接上同时存在，并且它们之间的帧可以交错传输，然后再根据每个帧首部的流标识符重新组装，这就是 HTTP/2 实现多路复用的关键所在。
而客户端发送 RST_STREAM 帧进行流重置，是 HTTP/2 协议中的一种正常机制，有着重要的用途。当客户端发现某个流出现异常，比如服务器长时间没有响应，或者客户端不再需要某个正在进行的请求时，就可以发送 RST_STREAM 帧来终止这个流。这样做不仅可以节省资源，避免服务器继续为这个不再需要的请求消耗计算资源和带宽，还能及时释放连接资源，以便进行其他更有意义的通信。从带宽利用的角度来看，及时终止不必要的流，可以让宝贵的带宽资源被更合理地分配给其他有效的请求，提高了整个网络通信的效率 。

Rapid Reset 攻击：原理与影响

（一）攻击原理剖析

正常情况下，HTTP/2 协议为了防止恶意请求耗尽服务器资源，会设置一些限制机制，比如限制单个 TCP 连接上的并发流数量。当一个客户端与服务器建立 HTTP/2 连接后，它可以同时发起多个流来传输数据，但服务器会对并发流的数量进行限制，例如将最大并发流数量设置为 100，这就意味着在任何时刻，服务器只会处理来自同一个客户端的 100 个活跃流 。
而攻击者正是利用了 HTTP/2 协议中的流重置机制来绕过这些限制。他们通过控制大量的客户端（通常是通过僵尸网络），向目标服务器快速发送大量的 HTTP/2 请求。每发送一个请求，就立即发送一个 RST_STREAM 帧来重置对应的流，使这个流快速进入 “Closed” 状态。由于 “Closed” 状态的流不计入并发流数量统计，攻击者就可以绕过服务器设置的并发流限制，持续不断地发送新的请求。如此一来，服务器就会陷入一种不断接收请求、处理请求（哪怕只是部分处理），然后又不得不快速终止请求的恶性循环中。随着这种恶意请求和重置的持续进行，服务器的资源（如 CPU、内存、网络带宽等）会被迅速耗尽，导致无法正常处理合法用户的请求，最终引发 DDoS 攻击，使服务无法正常提供 。

（二）攻击规模与影响范围

HTTP/2 Rapid Reset 攻击的规模之大，令人咋舌。据相关报道，谷歌观察到的一次 DDoS 攻击，峰值可达每秒 3.98 亿次请求（RPS），这一数字是这家互联网巨头此前遭遇的最大规模攻击的七倍多。Cloudflare 发现的其中一次攻击规模是该公司 2 月份报告的破纪录的每秒 7100 万次请求（RPS）攻击的三倍，HTTP/2 Rapid Reset DDoS 活动的峰值达到每秒 2.01 亿次请求 。在 8 月下旬的两天内，亚马逊遭遇了十几起 HTTP/2 快速重置攻击，最大峰值达到每秒 1.55 亿次请求 。
这些攻击的影响范围极为广泛，几乎涵盖了所有使用 HTTP/2 协议的网站和服务。无论是大型的互联网公司，如提供搜索引擎服务的谷歌、内容分发网络服务的 Cloudflare、云计算服务的 AWS，还是各类小型网站和在线服务，只要采用了 HTTP/2 协议，都可能成为攻击目标。一旦遭受攻击，网站可能会出现页面加载缓慢、无法访问、频繁报错等问题，严重影响用户体验，导致用户流失，对于电商网站来说，还可能造成巨大的经济损失 。 许多依赖 HTTP/2 协议进行数据传输的在线业务系统，如在线支付平台、金融交易系统等，也面临着严重的安全威胁，攻击可能导致交易中断、数据泄露等严重后果，给企业和用户带来难以估量的损失。

巨头的应对与行业现状

（一）大厂的防御策略

面对来势汹汹的 HTTP/2 Rapid Reset 攻击，谷歌、Cloudflare、AWS 等大型互联网公司纷纷展现出强大的应对能力，采取了一系列有效的防御策略。
谷歌凭借其强大的网络基础设施，通过在网络边缘增加容量来应对这些新型攻击。当攻击发生时，谷歌能够迅速调配更多的网络资源，确保恶意请求不会压垮服务器，保证了服务的正常运行。就像在一场激烈的战斗中，谷歌迅速扩充防线，抵御敌人的猛烈进攻，让攻击者无功而返 。
Cloudflare 则采用了多种技术手段来应对攻击。一方面，它调整了相关设置，如设置更高的 SETTINGS_MAX_CONCURRENT_STREAMS 值，以应对大量的并发请求流，避免因流数量限制被绕过而导致服务器资源耗尽。另一方面，Cloudflare 密切监控连接对 RST_STREAM 帧的滥用情况，一旦发现异常，立即采取措施阻止，有效遏制了攻击的蔓延。此外，Cloudflare 还扩展了名为 “IP Jail” 的处理超大容量攻击的系统，将其覆盖到整个基础设施。该系统会将有问题的 IP 地址 “监禁” 起来，并在一段时间内禁止其在任何 Cloudflare 域中使用 HTTP/2 ，从源头上减少了攻击的可能性。
AWS 在面对攻击时，展现出了快速的响应能力。在攻击发生的短短几分钟内，AWS 就能确定攻击的性质，并利用其 CloudFront 内容分发网络自动化解攻击。AWS 通过对攻击流量的实时监测和分析，及时采取相应的措施，如过滤恶意请求、调整流量分配等，确保客户服务的可用性不受影响 。

（二）行业整体现状与挑战

尽管这些大型互联网公司在应对 HTTP/2 Rapid Reset 攻击时取得了一定的成效，但整个行业在面对这种新型攻击时仍面临着诸多困难。由于这种攻击滥用了 HTTP/2 协议的底层弱点，目前并没有一种通用的解决方案可以完全阻止攻击者使用这种 DDoS 技术。这就好比一个隐藏在暗处的敌人，利用了我们自身的弱点进行攻击，而我们却难以找到一种一劳永逸的防御方法 。
许多小型网站和在线服务由于资源有限，缺乏有效的防御机制，在面对攻击时往往不堪一击。它们可能没有足够的网络容量来应对大量的恶意请求，也没有先进的监测和阻止技术，一旦遭受攻击，很容易导致服务中断，给用户带来极差的体验，甚至造成经济损失。
为了缓解 HTTP/2 Rapid Reset 攻击带来的影响，使用该协议的软件开发人员正在实施速率控制。通过限制单位时间内的请求数量，防止攻击者在短时间内发送大量的请求和重置帧，从而减轻服务器的压力。然而，速率控制也存在一定的局限性，它可能会影响合法用户的正常访问速度，如何在保证防御效果的同时，不影响用户体验，是软件开发人员需要解决的一个难题 。 整个行业还需要进一步加强对 HTTP/2 协议的研究，深入了解攻击的原理和特点，探索更加有效的防御措施，以共同应对 HTTP/2 Rapid Reset 攻击带来的挑战，维护互联网的安全和稳定。

给博主和网站运营者的建议

对于咱们博主和网站运营者来说，HTTP/2 Rapid Reset 攻击带来的威胁不容忽视，必须采取有效的措施来保障网站的安全和稳定运行。以下是一些实用的建议：

（一）技术设置与优化

1. 合理配置服务器参数：务必检查并合理设置服务器的并发流限制、连接超时等参数。例如，将并发流数量限制在一个合理的范围内，防止攻击者绕过限制发送大量请求。同时，适当缩短连接超时时间，及时释放闲置的连接资源，避免资源被恶意占用 。对于使用 NGINX 服务器的用户，可以参考其官方文档，将http2_max_concurrent_streams设置为合适的值，如默认的 128 ，并确保keepalive_requests保持在 1000 次请求的默认设置，以增强对攻击的抵御能力。

2. 启用速率限制：通过启用速率限制功能，限制单位时间内来自单个 IP 地址的请求数量，能够有效阻止攻击者在短时间内发送大量的恶意请求和重置帧。许多 Web 服务器和防火墙都提供了速率限制的配置选项，我们要充分利用这些功能。比如，在 Apache 服务器中，可以使用mod_ratelimit模块来实现速率限制，通过设置RateLimitZone和RateLimitRequestBody等指令，限制每个 IP 地址的请求速率和请求体大小 。

3. 更新软件与补丁：时刻关注服务器软件、Web 应用程序以及相关组件的更新信息，及时安装安全补丁。软件开发者通常会针对已知的安全漏洞发布补丁，及时更新可以修复 HTTP/2 协议中的弱点，降低被攻击的风险。无论是操作系统、Web 服务器软件（如 Nginx、Apache），还是网站使用的内容管理系统（如 WordPress、Drupal），都要保持更新到最新版本 。例如，当 NGINX 发布针对 HTTP/2 Rapid Reset 攻击的补丁时，要尽快将 NGINX 开源版用户基于最新的代码库重新构建二进制文件，NGINX Plus 客户请立即更新到最新的软件包（R29p1 或 R30p1） 。

（二）安全防护工具使用

1. 部署防火墙与 WAF：防火墙和 Web 应用防火墙（WAF）是抵御网络攻击的重要防线。防火墙可以设置规则，过滤掉来自可疑 IP 地址的请求，阻止恶意流量进入服务器。WAF 则能够检测和拦截针对 Web 应用的各种攻击，包括 HTTP/2 Rapid Reset 攻击。选择一款功能强大、口碑良好的防火墙和 WAF 产品，并进行合理配置，是保障网站安全的关键 。比如，SCDN 具备强大的安全防护功能，它的分布式 DDoS 清洗能力，支持电信、联通、移动线路，机房集群高达 1.5T 的清洗能力，基于先进特征识别算法进行精确清洗，能有效抵御基于网络层、传输层及应用层的 DDoS 攻击 。

2. 利用 CDN 服务：内容分发网络（CDN）不仅可以加快网站内容的传输速度，提升用户体验，还能在一定程度上防御 DDoS 攻击。CDN 服务提供商通常拥有庞大的节点网络和强大的流量清洗能力，当攻击发生时，CDN 可以将恶意流量分散到各个节点，减轻源服务器的压力，确保网站的正常访问。许多知名的 CDN 服务提供商，如 Cloudflare、Akamai 等，都具备针对 HTTP/2 Rapid Reset 攻击的防护机制 。以 Cloudflare 为例，它通过调整相关设置、监控连接对 RST_STREAM 帧的滥用情况以及扩展 “IP Jail” 系统等措施，有效地抵御了 HTTP/2 Rapid Reset 攻击，保护了其客户的网站安全 。

（三）监控与应急响应

1. 实时监控流量与服务器状态：建立实时监控机制，密切关注网站的流量变化、服务器的 CPU、内存使用率等指标。一旦发现异常流量或服务器资源利用率过高的情况，及时进行分析和处理。许多监控工具，如 Prometheus、Grafana 等，可以帮助我们实时监控服务器状态，并设置警报阈值，当指标超出正常范围时，及时发出警报 。

2. 制定应急响应预案：提前制定完善的应急响应预案，明确在遭受攻击时的应对流程和责任分工。当攻击发生时，能够迅速采取措施，如切换到备用服务器、启动流量清洗服务等，最大限度地减少攻击对网站的影响 。定期对应急响应预案进行演练，确保团队成员熟悉应对流程，提高应急处理能力。 可以模拟 HTTP/2 Rapid Reset 攻击场景，测试应急响应预案的有效性，及时发现并解决存在的问题 。

（四）关注行业动态与安全资讯

1. 加入安全社区与论坛：积极参与网络安全相关的社区和论坛，与其他博主、网站运营者以及安全专家交流经验，及时了解最新的网络安全动态和攻击趋势。在这些社区中，我们可以获取到关于 HTTP/2 Rapid Reset 攻击的最新信息，包括攻击手法的变化、防御策略的更新等，从而更好地应对潜在的安全威胁 。例如，在一些知名的安全社区，如 FreeBuf、安全客等，经常会有关于新型网络攻击的讨论和分析，我们可以从中学习到很多实用的知识和经验 。

2. 订阅安全资讯与报告：订阅权威的网络安全资讯和报告，如各大安全厂商发布的威胁情报报告、行业研究机构的安全分析报告等。这些资讯和报告能够帮助我们及时了解 HTTP/2 Rapid Reset 攻击的发展态势，以及整个网络安全行业的最新动态，为我们的安全决策提供有力的支持 。比如，谷歌、Cloudflare 等公司会定期发布关于网络攻击的报告，其中包含了对 HTTP/2 Rapid Reset 攻击的详细分析和应对建议，我们可以关注这些报告，及时获取最新的安全信息 。

未来展望：困境与突破

展望未来，HTTP/2 Rapid Reset 攻击的发展态势不容乐观。随着网络技术的不断发展，攻击者的手段也在日益多样化和复杂化。HTTP/2 Rapid Reset 攻击很可能会继续演变，变得更加难以检测和防御。攻击者可能会进一步优化攻击策略，利用更多的僵尸网络资源，使攻击规模更大、威力更强。他们或许还会结合其他攻击技术，形成组合攻击，给网络安全带来更大的挑战 。
面对这一严峻的安全威胁，互联网行业正在积极探索解决方案，努力寻求突破。在协议设计方面，相关组织和专家开始重新审视 HTTP/2 协议的安全性，考虑对协议进行改进和优化，以弥补现有漏洞。例如，研究如何改进流的状态管理机制，使 “Closed” 状态的流也能被合理统计，从而有效防止攻击者绕过并发流限制 。也在探索研发新的防护技术，如基于人工智能和机器学习的防护系统。这些智能防护系统能够实时分析网络流量，自动识别异常行为，及时发现并阻止 HTTP/2 Rapid Reset 攻击。通过对大量正常和攻击流量数据的学习，智能防护系统可以不断提升检测和防御的准确性和效率 。
作为博主和网站运营者，我们要时刻保持警惕，密切关注网络安全动态，不断提升自身的安全意识和防护能力。只有这样，我们才能在这场网络安全的持久战中，保护好自己的网站和用户，为互联网的安全稳定贡献自己的一份力量 。 网络安全是一场没有硝烟的战争，HTTP/2 Rapid Reset 攻击只是其中的一个缩影。让我们携手共进，共同应对网络安全挑战，创造一个更加安全、可靠的网络环境 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。