告别HTTP2漏洞危机：CVE-2023-44487修复全攻略(图文)

CVE-2023-44487 是什么

CVE-2023-44487 是一个在 2023 年被发现的高危漏洞，因其利用 HTTP/2 协议的快速重置机制进行 DDoS 攻击，而在安全界掀起轩然大波。2023 年，谷歌、AWS 和 Cloudflare 等公司发布公告，披露了这一漏洞引发的 DDoS 攻击，其中谷歌监测到的攻击峰值竟超过每秒 3.98 亿个请求，一举打破了互联网历史上最大应用层 DDoS 攻击记录，也让 CVE-2023-44487 进入大众视野。
HTTP/2 协议作为 HTTP/1.1 的升级版本，采用二进制协议和多路复用技术，实现了更高效的数据传输，还引入头部压缩、服务器推送和流优先级等新特性，大大提升了网页加载速度和性能。然而，CVE-2023-44487 却利用了 HTTP/2 协议的流取消功能中的 Rapid Reset 漏洞。攻击者通过不断发送和取消请求，在单个连接中打包多个 HEADERS 和 RST_STREAM 帧，导致每秒请求量大幅增加 。这样一来，目标服务器资源被快速耗尽，最终造成服务器拒绝服务。就好比一个餐厅，正常情况下服务员可以有条不紊地接待客人，但如果有人不停地订位又立刻取消，占用服务员处理订单的时间，餐厅的正常运营就会被扰乱，无法再正常服务其他顾客。
此漏洞影响范围极为广泛，众多使用 HTTP/2 协议的组件都未能幸免，像 Netty、Go、Apache Tomcat、grpc - go、jetty、nghttp2、Apache Traffic Server 等。如果你的业务系统中使用了这些组件且版本在受影响范围内，那么就极有可能面临被攻击的风险。 所以，无论你是运维人员、开发人员还是企业管理者，都不能对这个漏洞掉以轻心。

危害有多大

CVE-2023-44487 的危害不容小觑，已经在实际场景中引发了一系列严重问题 。在攻击中，谷歌监测到每秒 3.98 亿个请求的峰值，Cloudflare 也追踪到每秒超 2.01 亿个请求的情况，如此大规模的请求量，给服务器带来了沉重的负担。
从具体案例来看，一家在线电商平台，在遭受利用 CVE-2023-44487 漏洞的攻击后，服务器资源迅速被耗尽。大量虚假请求如潮水般涌来，服务器忙于处理这些无效请求，真正的用户请求无法得到及时响应，导致业务中断长达数小时。据统计，该电商平台在这数小时内，损失了数百万的销售额。不仅如此，由于服务长时间不可用，许多用户对平台的信任度降低，部分用户甚至选择了其他竞争对手的平台，这对平台的业务声誉造成了难以挽回的损害，后续的用户流失和品牌形象受损带来的间接损失更是难以估量。
再比如一家提供在线金融服务的机构，遭受攻击后，客户无法正常进行转账、查询等操作。这不仅打乱了客户的资金安排，引发了客户的强烈不满和投诉，还让金融机构面临监管部门的调查和处罚风险。因为金融行业对服务的稳定性和安全性要求极高，这样的安全事件无疑是一颗重磅炸弹，可能导致该机构在行业内的信誉评级下降，未来的业务拓展和合作都会受到限制。

不同平台修复方法

面对 CVE-2023-44487 漏洞，不同平台需采取相应的修复方法，下面就为大家详细介绍。

Apache HTTP Server

当检测到 Apache HTTP Server 存在 CVE-2023-44487 漏洞时，务必立即采取行动。官方已针对此问题发布了补丁程序，应尽快更新至最新稳定版，以消除潜在风险。具体步骤如下：首先，访问 Apache HTTP Server 的官方网站，在下载页面查看最新稳定版本信息；然后，根据服务器的操作系统类型，下载对应的安装包；在更新前，一定要备份好当前的配置文件，避免更新过程中出现问题导致配置丢失。接着停止正在运行的 Apache HTTP Server 服务，执行安装更新操作。更新完成后，启动服务并检查是否运行正常。

Nginx

对于 Nginx，除了关注官方发布的安全公告并及时安装可用的安全修补程序外，还可通过设置 keepalive_requests 参数来限制单个 TCP 连接上的最大请求数量，以此缓解可能发生的 DDoS 攻击影响。操作时，在 nginx.conf 文件中的 http 块加入如下配置：

http {
...
keepalive_requests 100; # 根据实际应用场景设置合理的数值
...
}
该参数的默认值是 100，在高并发请求场景下，可适当增加这个数值，有助于减少频繁建立新连接带来的开销，从而提高整体处理效率和服务响应速度。比如在每秒请求数（QPS）较高的场景中，若每个连接只能跑 100 次请求，可能会导致大量长连接被关闭，客户端不得不频繁新建连接。此时，将 keepalive_requests 值加大，就能避免出现大量连接被生成再抛弃的情况，减少 TIME_WAIT 状态的 socket 连接 。还可以通过配置 http2_max_concurrent_streams 定义连接上的最大并发流数目，进一步限制攻击者同时发起的请求数量。比如，根据服务器性能和业务需求，将 http2_max_concurrent_streams 设置为一个合适的值，像 200，就可以在一定程度上防止服务器因过多并发请求而陷入瘫痪。

Jetty

如果使用的是 Jetty 容器，要注意特定版本范围内的实例可能会受到该漏洞的影响。若发现所使用的 Jetty 版本存在漏洞，一种解决方法是手动替换受影响组件的 JAR 包为较新且不含缺陷的版本。以 Geoserver 地图服务器修复案例来说，当发现 Geoserver 所依赖的 Jetty 存在漏洞，且现场版本对应的 Jetty 未修复该问题时，从 Jetty 官网下载 zip 包，对照 Geoserver 发行版本中的 Jetty jar 包，分两步进行替换，共替换 13 个 jar 包，并将 Jetty 中的 start.jar 包也替换到 Geoserver 发行包中。不过，更推荐从源码编译或寻找由供应商提供的经过测试确认无误的新发行版，这样能确保修复的稳定性和可靠性。

Cisco Expressway

对于使用 Cisco Expressway 的用户，修复步骤如下：首先，使用 SCP 客户端访问 Cisco Expressway 的文件系统；然后，进入安装目录中的 conf 文件夹，创建当前的 “expressway.conf” 文件的备份，并重命名为 “expressway.conf.bak” ；使用文本编辑器打开 “expressway.conf” 文件，搜索并找到 “[server]” 部分，在其下添加 “http2.max-concurrent-streams=100”（这里的 100 可根据实际情况调整） ；保存并关闭文件后，使用 SCP 客户端将修改后的 “expressway.conf” 文件上传回原来的位置；最后，登录到 Cisco Expressway 的命令行界面，执行命令 “xCommand SystemUnit Restart Service: Traffic Server”，重启 “Traffic Server” 使配置生效。

修复后的验证

在完成 CVE-2023-44487 漏洞修复后，还需要进行一系列验证工作，以确保系统已成功修复且运行正常。

漏洞扫描工具检测

使用专业的漏洞扫描工具，如 Nessus、OpenVAS 等，能有效检测系统是否仍存在 CVE-2023-44487 漏洞 。以 Nessus 为例，首先要确保 Nessus 已正确安装并更新到最新版本，保证其漏洞数据库是最新的。打开 Nessus，点击 “New Scan” 新建一个扫描任务。在配置扫描任务时，选择合适的扫描模板，比如 “Basic Network Scan”，并填写要扫描的目标服务器的 IP 地址或域名 。在扫描设置中，可以根据实际需求调整扫描参数，如扫描端口范围、并发连接数等。设置完成后，点击 “Save” 保存设置并启动扫描。扫描过程中，Nessus 会向目标服务器发送各种探测请求，分析服务器的响应，以此判断是否存在漏洞。
OpenVAS 的使用流程也类似，先通过浏览器访问 OpenVAS 的 Web 界面（https://<服务器 IP>:9392），使用管理员账号登录 。登录后，进入 “Configuration” 选项，选择 “Targets”，点击 “New Target” 创建一个新的扫描目标，填写目标名称和要扫描的 IP 地址范围 。接着，进入 “Scans” 选项，点击 “New Task” 创建一个新的扫描任务，选择刚刚创建的目标，并配置扫描参数，如扫描策略、扫描时间等 。最后，点击 “Start” 按钮启动扫描。扫描完成后，在 “Scans” - “Reports” 中查看详细的扫描报告，报告中会列出发现的漏洞、风险等级和修复建议。如果在扫描报告中未发现与 CVE-2023-44487 相关的漏洞信息，说明漏洞修复可能已成功。

服务器性能指标观察

除了使用漏洞扫描工具，还需观察服务器的性能指标，判断修复后服务器是否正常运行。可以借助一些服务器监控工具，如 Zabbix、Prometheus + Grafana 等 。以 Zabbix 为例，在服务器上安装并配置 Zabbix Agent，将服务器添加到 Zabbix 监控系统中。在 Zabbix 的 Web 界面中，可以查看服务器的各项性能指标图表，如 CPU 使用率、内存使用率、网络流量等 。正常情况下，CPU 使用率应保持在一个合理的范围内，一般不超过 80%，如果服务器业务量较小，CPU 使用率可能在 20% - 40% 之间 ；内存使用率也不应过高，一般在 50% - 70% 较为正常，过高可能导致系统运行缓慢甚至出现内存溢出错误；网络流量方面，要根据服务器的业务类型和预期负载来判断，比如一个普通的 Web 服务器，其网络流入和流出流量在每秒几兆到几十兆之间可能是正常的 。
在观察性能指标时，如果发现 CPU 使用率持续过高，可能是服务器仍在遭受攻击，或者修复过程中引入了其他问题，导致服务器资源消耗过大；若内存使用率异常升高，可能是程序存在内存泄漏问题；网络流量异常增大，可能是有异常的网络请求。当这些指标都在正常范围内，且没有出现异常波动时，基本可以判断服务器在修复漏洞后运行正常，修复工作取得了成功。

日常预防措施

除了及时修复 CVE-2023-44487 漏洞，日常预防措施也至关重要，能有效降低系统遭受攻击的风险。
定期更新服务器软件和系统是预防漏洞的关键。以 Linux 系统为例，使用包管理器（如 yum、apt-get 等）能轻松完成更新操作 。比如在基于 Red Hat 的系统中，使用 “yum update” 命令，系统会自动检查并更新所有已安装的软件包，及时修复已知的安全漏洞。Windows Server 系统则可以通过 “设置” - “更新与安全” 选项，点击 “检查更新”，获取最新的安全补丁和功能改进。为了确保系统能及时更新，还可以设置自动更新。在 Windows Server 系统中，通过组策略编辑器，导航到 “计算机配置” - “管理模板” - “Windows 组件” - “Windows 更新”，找到 “配置自动更新” 策略，启用并设置为自动下载和安装更新 ，这样系统就能在后台自动完成更新，无需手动干预。
配置防火墙规则也是重要的预防手段。在 Linux 系统中，可以使用 iptables 防火墙，通过设置规则限制连接数和单个 IP 的访问频率。比如，要限制某个 IP 地址对服务器 80 端口的访问频率为每分钟 10 次，可以使用以下命令：

iptables -A INPUT -p tcp -s 192.168.1.100 --dport 80 -m limit --limit 10/minute --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.100 --dport 80 -j DROP
这两条命令的意思是，允许来自 192.168.1.100 这个 IP 地址的 TCP 连接访问服务器的 80 端口，每分钟最多 10 次，如果超过这个频率，后续的连接将被丢弃。对于 Windows 系统，打开 “控制面板” - “系统和安全” - “Windows Defender 防火墙”，点击 “高级设置”，在 “入站规则” 和 “出站规则” 中创建新规则，比如阻止特定 IP 地址或端口的访问，允许特定应用程序接收网络连接等 ，以此增强系统的安全性。
进行安全审计同样必不可少。通过审计系统和网络设备的安全日志和事件，能及时发现异常行为 。以 Linux 系统的 syslog 日志为例，它记录了系统的各种活动，通过分析 “/var/log/syslog” 文件，可以查看系统的启动信息、用户登录情况、服务运行状态等 。如果发现某个用户在短时间内频繁登录失败，可能是遭受了暴力破解攻击，就需要及时采取措施，如锁定该用户账号或限制登录尝试次数 。也可以使用专业的安全审计工具，像 Snort、Suricata 等入侵检测系统，它们能实时监控网络流量，发现异常行为并及时报警，帮助管理员及时发现并处理潜在的安全威胁。

总结

CVE-2023-44487 漏洞带来的威胁十分严重，从谷歌、Cloudflare 监测到的攻击峰值，以及电商平台、金融机构等实际遭受攻击的案例中，就能看到其对服务器和业务的巨大冲击。修复该漏洞刻不容缓，不同平台如 Apache HTTP Server、Nginx、Jetty、Cisco Expressway 等都有各自对应的修复方法 ，修复后还要借助漏洞扫描工具和服务器性能指标观察来验证修复效果。而在日常中，定期更新软件系统、配置防火墙规则和进行安全审计这些预防措施也不能忽视。
在这个网络无处不在的时代，网络安全是我们必须时刻坚守的防线。CVE-2023-44487 只是众多网络安全威胁中的一个，未来肯定还会有新的漏洞和攻击出现。所以，无论是个人还是企业，都要时刻保持警惕，把网络安全放在重要位置，积极采取有效的防护措施，共同维护一个安全、稳定的网络环境。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。