HTTP/2协议安全漏洞与防护

1. 知识点描述

HTTP/2是HTTP/1.1的升级版，通过多路复用、头部压缩、服务器推送等特性提升性能。然而，新特性也引入了新的攻击面，如依赖循环攻击（Dependency Cycle Attack）、流控制滥用（Flow Control Abuse）、头部压缩攻击（HPACK Bomb）等。这些漏洞可能被用于DDoS、资源耗尽或请求走私（HTTP/2到HTTP/1.1的降级攻击）。

2. HTTP/2核心机制与漏洞关联

（1）多路复用（Multiplexing）

• 机制：在单个TCP连接上并行传输多个请求/响应流（Stream），每个流有唯一ID。
• 风险：攻击者可能恶意创建大量流（如发送HEADERS帧但不关闭流），耗尽服务器资源。

（2）流优先级（Stream Priority）

• 机制：客户端可通过依赖关系树（Dependency Tree）指定流处理顺序。
• 漏洞：依赖循环（如流A依赖流B，流B又依赖流A）导致服务器陷入死循环。

（3）头部压缩（HPACK）

• 机制：用静态表（61个预定义头字段）和动态表（缓存新头字段）压缩头部。
• 漏洞：攻击者发送特制头部，迫使动态表无限膨胀（HPACK Bomb），消耗内存。

（4）流控制（Flow Control）

• 机制：每个流有接收窗口（Window Size），控制数据传输速率。
• 漏洞：恶意客户端可设置极小窗口，迫使服务器拆分成大量小帧，增加CPU开销。

3. 典型攻击场景与防护方案

场景1：依赖循环攻击（CVE-2019-9513）

• 攻击步骤：
  1. 创建流A，依赖流B（HEADERS帧中指定DEPENDENCY=B）。
  2. 创建流B，依赖流A，形成循环。
  3. 服务器处理优先级时陷入无限循环，CPU占用100%。
• 防护：
  • 服务端检测依赖关系中的环（如限制依赖树深度）。
  • 使用Nginx/Apache等已修复漏洞的版本（如Nginx 1.17.3+默认拒绝循环依赖）。

场景2：HPACK Bomb攻击

• 攻击步骤：
  1. 发送大量重复或特制头部（如Cookie: a=a&a=a&...），动态表不断新增条目。
  2. 服务器内存被耗尽，导致服务崩溃。
• 防护：
  • 限制动态表大小（如Nginx的hpack_max_size配置）。
  • 过滤重复头部或限制单个头部长度。

场景3：HTTP/2降级走私（HTTP/2 to HTTP/1.1 Smuggling）

• 攻击原理：
  • 前端代理将HTTP/2请求转换为HTTP/1.1传给后端，但处理Content-Length与Transfer-Encoding时可能解析不一致。
  • 例如，HTTP/2的Content-Length若被恶意构造，可能被代理误译，造成请求走私。
• 防护：
  • 代理严格校验HTTP/2帧格式，禁止非法字符。
  • 使用标准化转换库（如nghttp2）避免解析差异。

4. 实践中的防护策略

1. 协议版本管理：

   • 禁用不必要的HTTP/2服务器推送（减少攻击面）。
   • 监控异常流数量（如每秒创建超过1000流则触发警报）。

2. 配置加固示例（Nginx）：

   http {  
     http2_max_concurrent_streams 100;     # 限制并发流数  
     http2_max_field_size 4k;              # 限制头部字段大小  
     http2_max_header_size 16k;            # 限制整个头部大小  
     http2_body_preread_size 128k;         # 控制Body预读缓冲  
   }  
   

3. WAF规则：

   • 检测异常依赖关系（如流ID跳跃过大）。
   • 拦截包含非法字符的头部名称（如换行符\r\n）。

5. 总结

HTTP/2的性能优化背后隐藏着新的安全风险，需结合协议特性针对性防护。关键点包括：

• 深度防御：从协议实现（服务器/代理）、配置、监控多层防护。
• 及时更新：关注常见漏洞（如CVE-2019-951x系列）的补丁。
• 测试验证：使用工具（如h2spec）检测协议合规性，模拟攻击验证防护效果。