利用HTTP2,新型DDoS攻击峰值破纪录

已于 2024-01-06 22:04:44 修改
阅读量247 收藏
点赞数
文章标签: ddos 网络安全 可信计算技术 安全架构 网络协议 web安全 计算机网络
于 2023-10-28 18:04:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web22050702/article/details/134094271
版权

亚马逊、Cloudflare 和谷歌周二联合发布消息称,一种依赖于 HTTP/2 快速重置技术的攻击行为对它们造成了破纪录的分布式拒绝服务 (DDoS) 攻击。

img

根据披露的信息,该攻击自8月下旬以来便一直存在,所利用的漏洞被跟踪为CVE-2023-44487,CVSS 分数为 7.5。在针对谷歌云的攻击中,攻击峰值达到了每秒 3.98 亿次请求(RPS),而针对 AWS 和 Cloudflare 的攻击量分别超过了每秒 1.55 亿次和 2.01 亿次请求 (RPS)。

HTTP/2 快速重置是指 HTTP/2 协议中的0-Day缺陷,可被利用来执行 DDoS 攻击。简而言之,该攻击滥用 HTTP/2 的流取消功能,不断发送和取消请求,以压垮目标服务器。另一个关键方面在于此类攻击可以使用中等规模的僵尸网络来实施,据 Cloudflare 观察,该僵尸网络可容纳 2万台机器。

据W3Techs称,目前有35.6% 的网站使用 HTTP/2 。根据Web Almanac共享的数据,使用 HTTP/2 的请求百分比为 77% 。谷歌云表示,已经观察到快速重置攻击的多种变体,且比标准 HTTP/2 DDoS 攻击更有效。

缓解措施

Cloudflare 发现,HTTP/2 代理或负载均衡器特别容易受到快速发送的长字符串重置请求的影响,并最终使用了一个旨在处理超容量攻击的系统(称为“IP Jail”)来缓解这些攻击,公司已将该系统扩展到覆盖其整个基础设施。

亚马逊表示已缓解了数十起此类攻击,但没有提供有关其影响的任何详细信息,并强调其客户服务的可用性得到了维持。

受影响的三家公司都得出结论,客户应对 HTTP/2 快速重置攻击的最佳方法是使用所有可用的 HTTP 洪水防护工具,并通过多方面的缓解措施增强其 DDoS 抵御能力。

但由于这种策略滥用了 HTTP/2 协议,因此没有通用的修复方法可以完全阻止攻击者使用这种 DDoS 技术。相反,在软件中使用该协议的软件开发人员正在实施速率控制,以减轻 HTTP/2 快速重置攻击。

参考来源:

HTTP/2 Rapid Reset Zero-Day Vulnerability Exploited to Launch Record DDoS Attacks

New ‘HTTP/2 Rapid Reset’ zero-day attack breaks DDoS records

朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,点击下方链接即可前往免费获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》

这份完整版的学习资料已经上传CSDN,也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费

程序员橙橙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DDoS 攻击次数和流量峰值情况
m0_73803866的博客
10-22 2351
2020 年,得益于主管部门治理成效显著以及设备防护能力增强,我们监控到 DDoS 攻击次数相比 2019 年总量有所下降。但是在疫情期间的 DDoS 攻击有增无减,特别是医疗、政府、教育行业。1 到 4 月份是中国疫情最严重的时候,同时也是遭受 DDoS 攻击最频繁的时候,期间大部分的 DDoS 攻击都来 自境外,美国是最大境外攻击来源国。5G 环境下的 DDoS 攻击带宽增加,中小型攻击替代小型攻击占 主导地位,半数攻击峰值在 5-50Gpbs 区间。
有史以来最大的 DDoS 攻击峰值达到 400 Gbps
zy18165754120的博客
02-14 1440
反射 DDoS 攻击使用互联网设施来放大针对受害者的流量。上一次最大的攻击发生在去年针对Spamhaus。那个使用了“配置错误”的 DNS 服务器,据报道达到了 300 Gbps 的峰值。这个使用网络时间协议 (NTP),据信已达到 400 gbps。 AlienVault的研究团队工程师 Eduardo de la Arada解释了该方法:“NTP 服务器是用于同步系统时钟的服务器。可用请求之一是 MON_GETLIST,它返回最多 600 台机器的地址NTP服务器已与之交互。因此,对于一个小的(234
2023年度统计DDoS攻击峰值暴增,如何选择合适的防护方式将为2024年的重点(DexunCloud)
Dexun_chuqi的博客
02-01 1148
通过持续监控和快速响应、数据中心和带宽的扩展、流量过滤和清洗、自动化防护和流量分析、云端防护和分布式防御以及合作与信息共享,可以有效地解决和防御DDoS攻击。DexunCloud发现过去三年,DDoS 峰值攻击流量每年的增幅都超过了 100%,2021 年 DDoS 攻击峰值流量为 300Gbps,2022 年增至 650 Gbps,2023 年 Q1-Q2 季度再次增至 800 Gbps,2023 年 Q3-Q4 季度增至 1600 Gbps (1.6 Tbps)。
网络安全威胁——DDoS攻击
聚集机器学习、信息安全
12-02 2237
分布式拒绝服务(DDoS)攻击是一种常见的网络攻击形式。攻击者利用恶意程序对一个或多个目标发起攻击,企图通过大规模互联网流量耗尽攻击目标的网络资源,使目标系统无法进行网络连接、无法提供正常服务。
利用Linux下DDOS工具tfn2k进行DDOS攻击试验
qq_43678263的博客
08-20 2431
利用Linux下DDOS工具tfn2k进行DDOS攻击试验
DDoS 报告攻击类型占比
m0_73803866的博客
10-21 1170
众所周知,大 部分反射源为 IoT 设备,随着 5G 和物联网的快速发展, IoT 设备增长迅速,与传统的单 IP 大流量攻击 不一样,黑客利用控制的海量的 IoT 设备发起慢速攻击,每 IP 的攻击的频率和正常用户的范围频率保持 一致,这使得传统的基于地理位置和限速的策略失效,因此需要多维度的检测算法区分攻击源和正常源。并且除了传统的 CC 和慢速攻击, HTTP2.0 协议还引入了新型攻击,例 如基于控制帧的洪水攻击和基于控制帧的慢速攻击,以及 HTTP2.0 的头部压缩攻击,此类攻击已有多。
网络安全DDoS攻击详解_ddos攻击流程
HUANGXIN9898的博客
07-12 7016
的能力,但对于正常的TCP连接是放过的,殊不知很多网络服务程序(如:IIS、 Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽面被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此此种DDOs攻击方容易被追踪。
网络安全 - DDoS 攻击原理 + 实验
z339521的博客
06-14 1955
DDoSDDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一种通过多个计算机系统同时向目标系统发送大量请求,消耗其资源,使其无法正常服务的攻击方式。DDoS 攻击通常利用受感染的僵尸网络(botnet),由攻击者远程控制多个受感染的计算机同时发起攻击。
防御DDoS攻击的方案--高防节点(高防IP)
IT利刃出鞘的博客
11-23 5443
本文介绍如何使用高防节点防御DDoS攻击。 本文包含的内容有:DDos的概念,高防节点的防御原理,提供高防节点的一些厂家,高防节点的配置方式。
NS2环境下的DDoS攻击模拟
10-22
本论文首先介绍了DDoS攻击和NS2网络模拟器的相关知识,然后详细地讲述使用NS2来模拟DDoS攻击的具体实现方案,而且按照该方案实现了小型DDoS攻击的模拟并得到了满意的结果,从而证明了模拟方案的可行性。论文最后对...
2021年第2季度DDoS攻击资源分析报告.pdf
09-02
DDoS(Distributed Denial of Service)攻击是网络攻击中的一种常见形式,它通过大量恶意流量淹没目标网络或服务器,导致其无法正常提供服务。2021年第二季度的DDoS攻击资源分析报告由国家计算机网络应急技术处理...
浅谈利用JavaScript进行的DDoS攻击原理与防御
10-24
利用JavaScript进行的DDoS攻击,是一种较新的攻击手段,主要利用了浏览器中的JavaScript执行环境,通过用户浏览含有恶意JavaScript代码的网页时,自动向目标服务器发送大量请求。 JavaScript是目前网页中最常使用的...
php的ddos攻击解决方法
01-21
本文实例讲述了php的ddos攻击解决方法。分享给大家供大家参考。具体分析如下: 今天自己的一台机器突然向外部发送大量数据包,可每秒到1G以上,虽然我用策略把UDP禁止包是发不出去但是很占cup啊,所以想到最后还是想...
直播App遭受抓包后的DDoS与CC攻击防御策略
@云安全小杜
08-14 823
抓包是指在网络中捕获数据包的过程,攻击者通过这一手段可以窃取敏感信息或者找到系统的弱点。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8413
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
安全防御之可信计算技术
学而思(xiejava的blog)
01-09 2245
可信计算技术是一种计算机安全体系结构,旨在提高计算机系统在面临各种攻击和威胁时的安全性和保密性。它通过包括硬件加密、受限访问以及计算机系统本身的完整性验证等技术手段,确保计算机系统在各种攻击和威胁下保持高度安全和保密性。
架构-27】安全架构设计-2
最新发布
qq_45611002的博客
08-24 385
安全架构架构面向安全性方向上的一种细分,通常的可组成三道安全防线。
【系统分析师】-综合知识-计算机网络与信息安全
宣晨光
08-21 854
若一个信道带宽为2MHz,信噪比为30dB,则信道容量C约为。8、如果主机设置为自动获得IP地址,而又没有可用的DHCP服务器【DHCP服务器离线】,那么主机会自动生成一个。防火墙工作在网络层,支持网络地址转换和端口映射,通常部署在企业内部网和Internet之间,分贝数与信噪比的关系:dB=10lg(S/N),因此信噪比S/N=10^3=1000。5、网络主动攻击:重放、伪装、Ddos,被动攻击:信息泄露、窃听、业务流分析。4、由于DNS根服务器被攻击,将正常网站的域名解析到错误的地址。
利用网络资源防御大规模DDoS攻击策略
2. 网络资源利用:论文将深入讨论如何有效地利用网络资源来防御DDoS攻击。这可能包括流量监测、异常检测算法、流量清洗技术,以及如何通过智能路由、负载均衡等手段分散和过滤恶意流量。 3. 防御策略:法布尔可能会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值