国产精品无码久久综合网,色欧美在线观看,99久久精品6在线播放

"HTTP/2 快速重置"協(xié)議漏洞將困擾互聯(lián)網(wǎng)多年

2023-10-14 20:57:34 來源：cnBeta

Google、亞馬遜（Amazon）、微軟（Microsoft）和 Cloudflare 本周透露，它們?cè)?8 月和 9 月針對(duì)其云基礎(chǔ)設(shè)施發(fā)起了大規(guī)模、創(chuàng)紀(jì)錄的分布式拒絕服務(wù)攻擊。DDoS 攻擊是一種典型的互聯(lián)網(wǎng)威脅，攻擊者試圖用垃圾流量淹沒服務(wù)，使其癱瘓，黑客一直在開發(fā)新的策略，使其規(guī)模更大或更有效。

(資料圖片僅供參考)

不過，最近的攻擊尤其值得注意，因?yàn)楹诳褪抢靡粋€(gè)基礎(chǔ)網(wǎng)絡(luò)協(xié)議中的漏洞發(fā)動(dòng)攻擊的。這意味著，雖然修補(bǔ)工作正在順利進(jìn)行，但在完全杜絕這些攻擊之前，修補(bǔ)程序基本上需要覆蓋全球所有網(wǎng)絡(luò)服務(wù)器。

該漏洞被稱為"HTTP/2 快速重置"，只能用于拒絕服務(wù)，攻擊者無法遠(yuǎn)程接管服務(wù)器或竊取數(shù)據(jù)。但是，攻擊并不一定要花哨才能造成大問題--從關(guān)鍵基礎(chǔ)設(shè)施到重要信息，可用性對(duì)于訪問任何數(shù)字服務(wù)都至關(guān)重要。

Google云的 Emil Kiner 和 Tim April 本周寫道："DDoS 攻擊會(huì)對(duì)受害組織造成廣泛影響，包括業(yè)務(wù)損失和關(guān)鍵任務(wù)應(yīng)用程序的不可用性。從 DDoS 攻擊中恢復(fù)的時(shí)間可能遠(yuǎn)遠(yuǎn)超過攻擊結(jié)束的時(shí)間。"

情況的另一個(gè)方面是漏洞的來源。Rapid Reset 并不存在于某個(gè)特定的軟件中，而是存在于用于加載網(wǎng)頁(yè)的 HTTP/2 網(wǎng)絡(luò)協(xié)議的規(guī)范中。HTTP/2 由互聯(lián)網(wǎng)工程任務(wù)組（IETF）開發(fā)，已經(jīng)存在了大約八年，是經(jīng)典互聯(lián)網(wǎng)協(xié)議 HTTP 更快、更高效的繼承者。HTTP/2 在移動(dòng)設(shè)備上的運(yùn)行效果更好，使用的帶寬更少，因此被廣泛采用。IETF 目前正在開發(fā) HTTP/3。

Cloudflare的Lucas Pardue和Julien Desgats本周寫道：由于該攻擊濫用了HTTP/2協(xié)議中的一個(gè)潛在弱點(diǎn)，我們認(rèn)為任何實(shí)施了HTTP/2的供應(yīng)商都會(huì)受到攻擊。雖然似乎有少數(shù)實(shí)施方案沒有受到 Rapid Reset 的影響，但 Pardue 和 Desgats 強(qiáng)調(diào)說，這個(gè)問題與"每臺(tái)現(xiàn)代網(wǎng)絡(luò)服務(wù)器"廣泛相關(guān)。

與由微軟修補(bǔ)的Windows漏洞或由蘋果修補(bǔ)的 Safari 漏洞不同，協(xié)議中的缺陷不可能由一個(gè)中央實(shí)體來修復(fù)，因?yàn)槊總€(gè)網(wǎng)站都以自己的方式實(shí)施標(biāo)準(zhǔn)。當(dāng)主要的云服務(wù)和 DDoS 防御提供商為其服務(wù)創(chuàng)建修復(fù)程序時(shí)，就能在很大程度上保護(hù)使用其基礎(chǔ)設(shè)施的每個(gè)人。但運(yùn)行自己網(wǎng)絡(luò)服務(wù)器的組織和個(gè)人需要制定自己的保護(hù)措施。

長(zhǎng)期從事開源軟件研究的軟件供應(yīng)鏈安全公司 ChainGuard 首席執(zhí)行官丹-洛倫茨（Dan Lorenc）指出，這種情況是一個(gè)例子，說明開源的可用性和代碼重用的普遍性（而不是總是從頭開始構(gòu)建一切）是一個(gè)優(yōu)勢(shì)，因?yàn)樵S多網(wǎng)絡(luò)服務(wù)器可能已經(jīng)從其他地方復(fù)制了 HTTP/2 實(shí)現(xiàn)，而不是重新發(fā)明輪子。如果這些項(xiàng)目得到維護(hù)，它們將開發(fā)出快速重置修復(fù)程序，并推廣給用戶。

不過，這些補(bǔ)丁的全面采用還需要數(shù)年時(shí)間，仍會(huì)有一些服務(wù)從頭開始實(shí)施自己的 HTTP/2，而其他任何地方都不會(huì)提供補(bǔ)丁。

Lorenc 說："需要注意的是，大型科技公司發(fā)現(xiàn)這個(gè)問題時(shí)，它正在被積極利用。它可以用來癱瘓服務(wù)，比如操作技術(shù)或工業(yè)控制。這太可怕了。"

雖然最近對(duì)Google、Cloudflare、微軟和亞馬遜的一連串 DDoS 攻擊因規(guī)模巨大而引起了人們的警惕，但這些公司最終還是緩解了攻擊，沒有造成持久的損失。但是，黑客通過實(shí)施攻擊，揭示了協(xié)議漏洞的存在以及如何利用該漏洞--安全界稱之為"燒毀零日"的因果關(guān)系。盡管修補(bǔ)過程需要時(shí)間，而且一些網(wǎng)絡(luò)服務(wù)器將長(zhǎng)期處于易受攻擊的狀態(tài)，但與攻擊者沒有利用該漏洞亮出底牌相比，現(xiàn)在的互聯(lián)網(wǎng)更加安全了。

Lorenc 說："在標(biāo)準(zhǔn)中出現(xiàn)這樣的漏洞是不尋常的，它是一個(gè)新穎的漏洞，對(duì)于首先發(fā)現(xiàn)它的人來說是一個(gè)有價(jià)值的發(fā)現(xiàn)。他們本可以把它保存起來，甚至可能把它賣掉，賺一大筆錢。我一直很好奇為什么有人決定"燒掉"這個(gè)漏洞。"

關(guān)鍵詞：