亞馬遜、Cloudflare 和谷歌周二聯合發布消息稱，一種依賴于 HTTP/2 快速重置技術的攻擊行為對它們造成了破紀錄的分布式拒絕服務 (DDoS) 攻擊。

根據披露的信息，該攻擊自8月下旬以來便一直存在，所利用的漏洞被跟蹤為CVE-2023-44487，CVSS 分數為 7.5。在針對谷歌云的攻擊中，攻擊峰值達到了每秒 3.98 億次請求(RPS)，而針對 AWS 和 Cloudflare 的攻擊量分別超過了每秒 1.55 億次和 2.01 億次請求 (RPS)。

HTTP/2 快速重置是指 HTTP/2 協議中的0-Day缺陷，可被利用來執行 DDoS 攻擊。簡而言之，該攻擊濫用 HTTP/2 的流取消功能，不斷發送和取消請求，以壓垮目標服務器。另一個關鍵方面在于此類攻擊可以使用中等規模的僵尸網絡來實施，據 Cloudflare 觀察，該僵尸網絡可容納 2萬臺機器。

據W3Techs稱，目前有35.6% 的網站使用 HTTP/2 。根據Web Almanac共享的數據，使用 HTTP/2 的請求百分比為 77% 。谷歌云表示，已經觀察到快速重置攻擊的多種變體，且比標準 HTTP/2 DDoS 攻擊更有效。

緩解措施

Cloudflare 發現，HTTP/2 代理或負載均衡器特別容易受到快速發送的長字符串重置請求的影響，并最終使用了一個旨在處理超容量攻擊的系統（稱為“IP Jail”）來緩解這些攻擊，公司已將該系統擴展到覆蓋其整個基礎設施。

亞馬遜表示已緩解了數十起此類攻擊，但沒有提供有關其影響的任何詳細信息，并強調其客戶服務的可用性得到了維持。

受影響的三家公司都得出結論，客戶應對 HTTP/2 快速重置攻擊的最佳方法是使用所有可用的 HTTP 洪水防護工具，并通過多方面的緩解措施增強其 DDoS 抵御能力。

但由于這種策略濫用了 HTTP/2 協議，因此沒有通用的修復方法可以完全阻止攻擊者使用這種 DDoS 技術。相反，在軟件中使用該協議的軟件開發人員正在實施速率控制，以減輕 HTTP/2 快速重置攻擊。