HTTP/2 快速重置（HTTP/2 Rapid Reset）漏洞与防护 1. 漏洞描述 HTTP/2 快速重置漏洞（CVE-2023-44487）是一种针对 HTTP/2 协议的拒绝服务（DoS）攻击技术。攻击者利用 HTTP/2 的流（Stream）和多路复用特性，在单个连接内快速创建并立即取消大量请求（如通过 RST_ STREAM 帧），导致服务器资源被过度消耗而无法正常服务。该漏洞无需依赖大量网络带宽或连接数，即可对服务器造成瘫痪级影响。 2. 漏洞原理与攻击步骤 步骤1：理解 HTTP/2 关键机制 多路复用 ：HTTP/2 允许在单个 TCP 连接上并行传输多个请求/响应流（Stream），每个流有唯一ID标识。 流状态管理 ：流需经历空闲→打开→关闭等状态，服务器需为每个打开的流分配内存和计算资源。 RST_ STREAM 帧 ：客户端可通过发送此帧随时取消某个流，服务器收到后需立即释放对应资源。 步骤2：攻击流程 攻击者与目标服务器建立少量 HTTP/2 连接。 在每个连接上快速创建大量流（如每秒数千个），并立即发送 RST_ STREAM 帧取消请求。 服务器频繁处理流的创建和取消操作，导致以下问题： CPU 资源被大量消耗在流状态管理上； 内存分配/释放操作密集，可能引发内存碎片或锁竞争； 其他正常请求因资源不足被阻塞。 步骤3：攻击特点 高效性：无需传统 DDoS 的大流量，仅需低带宽即可生效； 隐蔽性：请求被快速取消，服务器日志可能无法完整记录攻击流。 3. 防护方案 3.1 服务端配置优化 限制每秒新建流数量 ：在 HTTP/2 服务器配置中设置 max_concurrent_streams 和 max_streams_per_connection 阈值，例如限制单个连接内每秒新流数不超过100个。 延迟处理 RST_ STREAM ：对频繁取消的流进行批量处理，减少资源调度开销。 3.2 部署防护工具 WAF（Web应用防火墙） ：识别异常流模式（如连续 RST_ STREAM），自动拦截攻击IP。 负载均衡器配置 ：在反向代理层（如 Nginx、Envoy）启用流控策略，对超限连接主动断开。 3.3 协议层修复 升级 HTTP/2 实现库 ：如更新 nghttp2、Go 标准库等已修复该漏洞的版本。 启用 HTTP/2 协议限制 ：部分服务器支持设置 SETTINGS_MAX_CONCURRENT_STREAMS 参数，强制客户端遵守流数量限制。 4. 总结 HTTP/2 快速重置漏洞暴露了协议实现中对资源管理的缺陷。防护需结合协议层限制、基础设施调控和实时监控，确保在享受 HTTP/2 性能优势的同时规避其安全风险。