據外媒報道，Cloudflare、谷歌和 AWS 周二透露，惡意行為者已利用名為“HTTP/2 Rapid Reset”的新零日漏洞發起互聯網歷史上最大規模的分布式拒絕服務 (DDoS) 攻擊。

Cloudflare 于 8 月下旬開始分析攻擊方法和底層漏洞。該公司表示，一個未知的威脅參與者利用了廣泛使用的 HTTP/2 協議中的一個弱點來發起“巨大的、超容量的”DDoS 攻擊。 

Cloudflare 發現的其中一次攻擊規模是該公司 2 月份報告的破紀錄的每秒 7100 萬次請求 (RPS) 攻擊的三倍。具體來說，HTTP/2 Rapid Reset DDoS 活動的峰值達到 2.01 億 RPS。 

以谷歌為例，該公司觀察到一次 DDoS 攻擊，峰值可達 3.98 億 RPS，是這家互聯網巨頭此前遭遇的最大規模攻擊的七倍多。 

8 月下旬的兩天內，亞馬遜遭遇了十幾起 HTTP/2 快速重置攻擊，最大峰值達到 1.55 億 RPS。 

新的攻擊方法通過重復發送請求并立即取消它來濫用稱為“流取消”的 HTTP/2 功能。 

Cloudflare 解釋道：“通過大規模自動化這種微不足道的‘請求、取消、請求、取消’模式，威脅參與者能夠創建拒絕服務并摧毀任何運行 HTTP/2 標準實現的服務器或應用程序?！?/p>

該公司指出，針對其客戶的破紀錄攻擊利用了僅由 20,000 臺受感染設備組成的僵尸網絡。該網絡安全公司經?？吹接蓴凳f甚至數百萬臺機器驅動的僵尸網絡發起的攻擊。

據信該潛在漏洞會影響每個實施 HTTP/2 的 Web 服務器，該漏洞被跟蹤為 CVE-2023-44487，并被賦予“高嚴重性”評級，CVSS 評分為 7.5。

Cloudflare和Google發布了博客文章，提供有關 HTTP/2 快速重置攻擊的技術詳細信息。AWS還發布了一篇博客文章，描述其觀察到的 HTTP/2 快速重置攻擊。 

兩家公司表示，他們現有的 DDoS 保護基本上能夠處理 HTTP/2 快速重置，但他們已經針對這種攻擊方法實施了額外的緩解措施。網絡服務器軟件公司已收到警告，他們已開始開發補丁來防止該漏洞被利用。 

谷歌警告說：“任何向互聯網提供基于 HTTP 的工作負載的企業或個人都可能面臨這種攻擊的風險?！?nbsp;“能夠使用 HTTP/2 協議進行通信的服務器或代理上的 Web 應用程序、服務和 API 可能容易受到攻擊。組織應驗證其運行的任何支持 HTTP/2 的服務器均不易受到攻擊，或應用 CVE-2023-44487 的供應商補丁來限制此攻擊媒介的影響。”