"HTTP/2 快速重置"协议漏洞将困扰互联网多年
Google、亚马逊(Amazon)、微软(Microsoft)和 Cloudflare 本周透露,它们在 8 月和 9 月针对其云基础设施发起了大规模、创纪录的分布式拒绝服务攻击。DDoS 攻击是一种典型的互联网威胁,攻击者试图用垃圾流量淹没服务,使其瘫痪,黑客一直在开发新的策略,使其规模更大或更有效。
(资料图片仅供参考)
不过,最近的攻击尤其值得注意,因为黑客是利用一个基础网络协议中的漏洞发动攻击的。这意味着,虽然修补工作正在顺利进行,但在完全杜绝这些攻击之前,修补程序基本上需要覆盖全球所有网络服务器。
该漏洞被称为"HTTP/2 快速重置",只能用于拒绝服务,攻击者无法远程接管服务器或窃取数据。但是,攻击并不一定要花哨才能造成大问题--从关键基础设施到重要信息,可用性对于访问任何数字服务都至关重要。
Google云的 Emil Kiner 和 Tim April 本周写道:"DDoS 攻击会对受害组织造成广泛影响,包括业务损失和关键任务应用程序的不可用性。从 DDoS 攻击中恢复的时间可能远远超过攻击结束的时间。"
情况的另一个方面是漏洞的来源。Rapid Reset 并不存在于某个特定的软件中,而是存在于用于加载网页的 HTTP/2 网络协议的规范中。HTTP/2 由互联网工程任务组(IETF)开发,已经存在了大约八年,是经典互联网协议 HTTP 更快、更高效的继承者。HTTP/2 在移动设备上的运行效果更好,使用的带宽更少,因此被广泛采用。IETF 目前正在开发 HTTP/3。
Cloudflare的Lucas Pardue和Julien Desgats本周写道:由于该攻击滥用了HTTP/2协议中的一个潜在弱点,我们认为任何实施了HTTP/2的供应商都会受到攻击。虽然似乎有少数实施方案没有受到 Rapid Reset 的影响,但 Pardue 和 Desgats 强调说,这个问题与"每台现代网络服务器"广泛相关。
与由微软修补的Windows漏洞或由苹果修补的 Safari 漏洞不同,协议中的缺陷不可能由一个中央实体来修复,因为每个网站都以自己的方式实施标准。当主要的云服务和 DDoS 防御提供商为其服务创建修复程序时,就能在很大程度上保护使用其基础设施的每个人。但运行自己网络服务器的组织和个人需要制定自己的保护措施。
长期从事开源软件研究的软件供应链安全公司 ChainGuard 首席执行官丹-洛伦茨(Dan Lorenc)指出,这种情况是一个例子,说明开源的可用性和代码重用的普遍性(而不是总是从头开始构建一切)是一个优势,因为许多网络服务器可能已经从其他地方复制了 HTTP/2 实现,而不是重新发明轮子。如果这些项目得到维护,它们将开发出快速重置修复程序,并推广给用户。
不过,这些补丁的全面采用还需要数年时间,仍会有一些服务从头开始实施自己的 HTTP/2,而其他任何地方都不会提供补丁。
Lorenc 说:"需要注意的是,大型科技公司发现这个问题时,它正在被积极利用。它可以用来瘫痪服务,比如操作技术或工业控制。这太可怕了。"
虽然最近对Google、Cloudflare、微软和亚马逊的一连串 DDoS 攻击因规模巨大而引起了人们的警惕,但这些公司最终还是缓解了攻击,没有造成持久的损失。但是,黑客通过实施攻击,揭示了协议漏洞的存在以及如何利用该漏洞--安全界称之为"烧毁零日"的因果关系。尽管修补过程需要时间,而且一些网络服务器将长期处于易受攻击的状态,但与攻击者没有利用该漏洞亮出底牌相比,现在的互联网更加安全了。
Lorenc 说:"在标准中出现这样的漏洞是不寻常的,它是一个新颖的漏洞,对于首先发现它的人来说是一个有价值的发现。他们本可以把它保存起来,甚至可能把它卖掉,赚一大笔钱。我一直很好奇为什么有人决定"烧掉"这个漏洞。"
关键词:
推荐
-
荣耀笔记本三叉戟首秀 荣耀MagicBook14系列2023上市
荣耀举行荣耀MagicBook 14系列新品发布会,推出荣耀MagicBook 14 2023和荣耀MagicBook 14 Pro 202...
来源:TechWeb -
苹果iPhone15Pro机模视频展示新按钮 USB-C等外观设计
日前一个 iPhone 15 Pro 机模出现在抖音分享的视频中,提供了对该设备传闻中的设计的近距离观察。预...
来源:TechWeb
直播更多》
-
小米13Ultra发布:告别数码味 回归影像光学原点
小米集团在京召开新品发布会,正式发布...
-
小米13Ultra发布:告别数码味 回归影像光学原点
小米集团在京召开新品发布会,正式发布...
-
华为超联接笔记本MateBookD14发布 这才是大学生与新锐白领的梦中情本!
在当代大学生和新锐职场人士的眼中,如...
-
库克担任苹果CEO已4250天 成苹果任职时间最长正式CEO
据外媒报道,自2011年8月25日接替乔布斯...
-
小米13Ultra将首发索尼IMX858传感器:所有副摄与主摄严格拉齐
据官方日前确认,全新的小米13 Ultra将...
-
多款重磅新品及解决方案发布 中兴通讯举办2023年度云网生态峰会
2023年度中兴通讯云网生态峰会在深圳成...