HTTP/2协议下的DDoS攻击与防御详解 1. 知识点描述 HTTP/2是HTTP协议的第二个主要版本，通过多路复用、头部压缩、服务器推送等特性提升性能。然而，这些特性也被攻击者利用来发起更高效的DDoS攻击（如HTTP/2洪水攻击）。本题将深入分析HTTP/2协议特性如何被滥用于DDoS攻击，并讲解防御策略。 2. HTTP/2协议的核心特性（攻击基础） （1）多路复用（Multiplexing） 原理 ：在单个TCP连接上并行传输多个HTTP请求/响应，避免HTTP/1.1的队头阻塞问题。 攻击关联 ：攻击者只需建立少量TCP连接即可发起大量请求，降低资源消耗，放大攻击效率。 （2）头部压缩（HPACK） 原理 ：使用静态哈夫曼编码压缩HTTP头部，减少冗余数据。 攻击关联 ：攻击包体积更小，相同带宽下可发送更多恶意请求。 （3）流优先级（Stream Priority） 原理 ：客户端可指定请求的优先级，服务器据此调整响应顺序。 攻击关联 ：攻击者可伪造高优先级流耗尽服务器资源，导致正常请求被延迟。 （4）服务器推送（Server Push） 原理 ：服务器可主动向客户端推送资源（如CSS、JS文件）。 攻击关联 ：恶意客户端可能接受大量推送内容，消耗网络带宽。 3. HTTP/2 DDoS攻击类型与原理 （1）HTTP/2洪水攻击（HTTP/2 Flood） 攻击步骤 ： 利用多路复用特性，在单个TCP连接上快速发送大量请求（如GET/POST）。 通过头部压缩减小包体积，使单位时间内的请求数远超HTTP/1.1。 目标服务器因处理海量请求而耗尽CPU、内存或带宽资源。 示例 ： 工具如 h2load 可模拟大量HTTP/2并发请求。 攻击者可能针对高开销接口（如数据库查询API）放大攻击效果。 （2）HTTP/2快速重置攻击（HTTP/2 Rapid Reset） 原理 ： 客户端发送请求后立即发送RST_ STREAM帧取消请求，但服务器已开始处理。 重复此过程可迫使服务器持续处理无效请求，而客户端消耗极低资源。 关键点 ： 服务器需为每个请求分配资源（如线程池），取消请求后资源可能无法立即回收。 攻击者可在1秒内单连接发送数百万请求，远高于HTTP/1.1。 （3）优先级滥用攻击（Priority Abuse） 原理 ： 攻击者伪造高优先级请求（如流优先级设为最高），占用服务器处理能力。 正常低优先级请求被延迟，造成业务不可用。 影响 ：类似网络中的QoS攻击，破坏公平性。 4. 防御策略 （1）协议层优化 限制每连接流数 ：配置服务器最大并发流数（如 max_concurrent_streams ）。 设置最小请求间隔 ：对同一连接的请求频率进行限速。 及时释放资源 ：收到RST_ STREAM帧后立即终止请求处理。 （2）流量清洗与速率限制 部署WAF/DDoS防护设备 ：识别异常HTTP/2流量模式（如快速重置行为）。 基于源IP的速率限制 ：限制每个IP的请求频率（需警惕IP伪造）。 应用层限速 ：对特定API接口设置阈值（如每分钟最多1000次查询）。 （3）服务器配置加固 调整TCP参数 ：减小 tcp_max_syn_backlog 以降低SYN洪水风险（HTTP/2依赖TCP）。 启用负载均衡 ：将流量分发到多台服务器，避免单点过载。 监控与告警 ：实时检测异常连接数、请求速率、错误率等指标。 （4）升级与补丁管理 更新HTTP/2实现 ：如NGINX、Apache等需升级至修复漏洞的版本（如CVE-2023-44487针对快速重置攻击）。 禁用不必要的HTTP/2特性 ：如无业务需求可关闭服务器推送。 5. 总结 HTTP/2协议在提升性能的同时引入了新的攻击面，尤其是多路复用和流管理机制易被滥用于DDoS攻击。防御需结合协议层限制、流量监控、基础设施加固等多层措施，平衡性能与安全。