• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CISO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 新聞速寫

HTTP/2 Zero-Day Vulnerability:破紀錄的新型DDoS攻擊是如何被Cloudflare檢測並有效緩解

2023-10-12
分類 : 新聞速寫
0
A A
0

從 2023 年 8 月 25 日開始,我們開始注意到一些異常的 HTTP 攻擊行為,並攻擊了很多我們的用戶。 但這些攻擊行為都被我們的自動化 DDoS 系統發現並阻擋了下來。 然而,沒過多久,它們的規模就突破了既有的DDoS紀錄,達到每秒為 201 million 請求的峰值, 這相當於我們之前有記錄以來最大攻擊規模的三倍。

而更加深入後發現,攻擊者能夠利用僅由 20,000 台機器組成的Botnet發起此類攻擊, 而如今的Botnet規模可達數十萬或數百萬台機器。

整個web網路通常每秒處理 10-30 億個請求,因此使用此方法可以將整個web網路的請求數量等級集中在少數目標上,而其實是可以達成的。

這是一種規模空前的新型攻擊手段,這種攻擊是通過濫用 HTTP/2 協議的某些功能和服務器實現的(有關詳細信息,請參閱 CVE-2023-44487) 。 

由於該攻擊利用了 HTTP/2 協議中的潛在弱點,因此我們相信任何使用了 HTTP/2 的供應商都將受到攻擊。

我們建議,最好的防禦措施是在任何 Web 或 API 服務器前面使用 Cloudflare DDoS 緩解服務。

Rapid Reset 導致DDoS攻擊產生

HTTP/2 request cancellation 可被濫用來reset無限數量的Streams。

當 HTTP/2 服務器能夠快速地處理客戶端發送的 RST_STREAM frames並解除狀態時,這種rapid resets不會導致問題。 

但是出現任何延遲或滯後時,問題就會開始出現。 客戶端可能會處理大量請求,導致工作積累積到一個上限,從而導致服務器附載過重。

常見的 HTTP 部署架構是在其他組件之前運行 HTTP/2 Proxy或負載平衡器。當客戶端請求到達時,它會被快速分流, 然而這種架構更有可能遇到rapid resets帶來的問題。

舉例:當Reverse Proxy處理送入的 HTTP/2 客戶端流量時,它們會將數據從connection’s socket按照順序接的複製到緩衝區中,並依序處理緩衝的數據。 當讀取每個請求(HEADERS and DATA frames)時,它被分派到upstream service。 當讀取 RST_STREAM frames時,請求的本地狀態將被解除,並通知upstream service請求已被取消,持續的重復,直到消耗整個緩衝區。 

然而這樣的邏輯就有可能會被濫用:當惡意客戶端開始發送大量請求並在connection開始時重置時,服務器會快速地讀取所有請求,並對upstream service造成壓力,導致無法處理任何新的連線請求。

此次事件對於使用Cloudflare的客戶影響

如上所述,當請求被取消時,upstream service會收到通知,並可以在浪費太多資源之前中止請求。 

大多數惡意請求從未轉發到源服務器,然而這些攻擊的規模確實造成了一些影響。

首先,隨著收到請求的速率達到前所未有的峰值,我們收到了客戶發現的 502 錯誤數量增加的報告。 這種情況發生在我們受影響最嚴重的數據中心,因為個數據中心正在努力處理所有請求。

攻擊者利用單一筆connection發送大量的的request,且每一筆都必須轉發到”business logic” proxy。

隨著請求流量變得高於我們的proxy capacity,連接這兩個服務的管道在我們的一些服務器中達到了飽和狀態。

發生這種情況時,TLS proxy無法再連接到其upstream service,這就是為什麼某些客戶端在最嚴重的攻擊期間看到「502 Bad Gateway」錯誤的原因。 

由於我們即時的觀察及快速的緩解措施大大減少了這些攻擊的規模,今天這個數字實際上為零。

Cloudflare措施和建議

2019 年,我們發現了多個與 HTTP/2 實現相關的 DoS 漏洞。 Cloudflare 開發並部署了一系列檢測和緩解措施作為響應。 CVE-2023-44487是HTTP/2漏洞的另一種表現形式。

除了直接修復之外,我們還對服務器的 HTTP/2 frames處理和請求分派代碼進行了多項改進。 

Cloudflare 已經擁有適當的系統,可以通過更有效的方法緩解非常大的攻擊。 其中之一被命名為「IP Jail」。 對於超容量攻擊,該系統會收集參與攻擊的客戶端 IP,並阻止它們連接到受攻擊的標的物(無論是在 IP layer還是在我們的 TLS proxy中)。 

然而該系統需要幾秒鐘才能完全生效; 由於這種新的僵屍網絡實際上沒有啓動期,因此我們需要能夠在攻擊成為問題之前將其消滅。

為了實現這一目標,我們擴展了 IP Jail 系統來保護我們的整個基礎設施:一旦 IP 被「jailed」,不僅會阻止它連接到受攻擊的標的物,我們還會禁止相應的 IP 使用 HTTP/2 訪問任何其他域 在 Cloudflare 上使用了一段時間。

由於所有這些操作都發生在 HTTPS 開始處的 TLS proxy中,因此與一般的 L7 緩解系統相比,這可以節省大量資源。 這使我們能夠更順利地抵御這些攻擊。

結論

雖然這是最新的破紀錄攻擊,但我們知道這不會是最後一次。 隨著攻擊變得越來越複雜,Cloudflare 不斷努力主動識別新威脅 – 為我們的全球網絡部署對策,以便我們數百萬的客戶立即得到自動保護。

自 2017 年以來,Cloudflare 一直為我們的所有客戶提供免費、不計量且無限制的 DDoS 保護。此外,我們還提供一系列附加安全功能,以滿足各種規模組織的需求。

如果您不確定自己是否受到保護或想瞭解如何受到保護,請聯繫我們。

標籤: CloudflareCVE-2023-44487DDoSHTTP 攻擊HTTP/2Rapid Reset
上一篇文章

領先業界 新光金保代建置新一代核心系統 昕力資訊 InsureBrick 創新保險微服務中台助攻

下一篇文章

NTT DATA攜手科絡達 以Oracle NetSuite拓展電動車國際市場競爭力

相關文章

◤ SentinelOne 亞洲區資安工程總監王琳。
供應商視野

SentinelOne AI 全棧式安全平臺邁向自動化 SOC

2026-07-08
◤ Dynatrace 大中華區銷售工程總監賴偉臣。
供應商視野

Dynatrace以確定性AI建立信任,驅動代理自主維運

2026-07-08
◤ 萬里雲基礎架構與資安技術主管 Nick Lin。
供應商視野

Al Agent 治理 萬里雲以 Apigee 築起零信任防線

2026-07-08
下一篇文章
NTT DATA攜手科絡達 以Oracle NetSuite拓展電動車國際市場競爭力

NTT DATA攜手科絡達 以Oracle NetSuite拓展電動車國際市場競爭力

2026 Elite Vendor

追蹤我們的 Facebook

近期文章

  • SentinelOne AI 全棧式安全平臺邁向自動化 SOC
  • Dynatrace以確定性AI建立信任,驅動代理自主維運
  • Al Agent 治理 萬里雲以 Apigee 築起零信任防線
  • Confluent數據驅動AI落地 偉康成就金融智能樞紐
  • 突破預算枷鎖 萬里雲推 Self-Funding 戰略轉型

📈 CIO點閱文章週排行

  • 【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    0 分享
    分享 0 Tweet 0
  • 群聯電子攜手新立資訊導入 SynxDB,打造高效能數據平台,加速良率分析與 AI 應用布局

    0 分享
    分享 0 Tweet 0
  • 醫療業:AI 眼鏡如何成為智慧醫院的關鍵基礎設施

    0 分享
    分享 0 Tweet 0
  • 【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

    0 分享
    分享 0 Tweet 0
  • InfoSec Taiwan 2026:重新定義 AI 時代的「信任邊界」

    0 分享
    分享 0 Tweet 0
  • 魏董事長說三星做夢 韓國人還關心台灣什麼事?

    0 分享
    分享 0 Tweet 0
  • 【專訪】振生半導體執行長張振豐

    0 分享
    分享 0 Tweet 0
  • AI 時代的新課題:企業如何建立 Token 治理?

    0 分享
    分享 0 Tweet 0
  • 三大電信開放 API 串聯金融業 TWCA 建構行動身分認證生態

    0 分享
    分享 0 Tweet 0
  • FDE 前線部署工程師,讓 AI 真正落地的角色

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

三大電信開放 API 串聯金融業 TWCA 建構行動身分認證生態

文/鄭宜芬 面對日益複雜的全球網路詐騙,臺灣網路認證公司TWCA 今(1)日攜手

從生成式 AI 到 AI Agent 國科會揭五大治理風險與防範指引

整理/鄭宜芬 隨著生成式 AI 乃至 AI Agent(AI 代理人)技術逐漸深

資誠與北醫共建 AI 創新平台 智慧醫療競爭力邁向生態系

整理/鄭宜芬 資誠(PwC Taiwan)17日舉辦「Pitching Wedn

從案例挖掘 ─ 供應鏈韌性提升的六大要素

面對全球現況與演化趨勢,本文聚焦各產業資訊長與科技主管的實際因應做法,從六個要素

【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

文/鄭宜芬 「虛擬資產服務法」草案 6 月 30 日三讀通過,正式建立臺灣虛擬資

【影】從 AI 照護到全球布局 工研院串聯生醫生態系

整理/鄭宜芬 在高齡化、少子化與醫護人力短缺三大挑戰交織下,醫療產業面臨前所未有

【專訪】振生半導體執行長張振豐

Root of Trust新戰略 迎戰量子安全新世代 生成式 AI 加速落地、智

AI 與網安的強強聯手出擊!七大 AI 網安新創大直擊

就在駭客運用 AI 發掘各種新興攻擊手法與攻擊管道之際,許多網路安全專家不僅開始

【編輯室札記】To AI or not to AI?!

總主筆/施鑫澤 身為企業 CIO,面對千年難遇的科技浪潮「AI」,真是既興奮又恐

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音