惊现每秒3.98亿次请求，DDoS攻击再次突破新高度

四库全书 2023-10-18 09:09:18  50272

分类专栏：资讯

近期，业界被一起超大规模的DDoS攻击所震动，该攻击每秒请求高达3.98亿次，创下新的历史纪录。值得关注的是，此次罕见的大规模攻击是基于HTTP/2的Rapid Reset功能来实施的。面对此种破坏性级强的攻击手段，绿盟科技抗拒绝服务系统（NSFOCUS ADS）已经整合并应用了多种尖端的防护技术，构建了稳固的联合防护机制，有力地减轻了攻击的影响。为此，绿盟科技建议各业务单位依据自身需求，及时采纳和启用防护方案。

HTTP/2 协议的广泛应用

HTTP/2标志着HTTP协议的创新进步，主推卓越的网页性能和更快的加载速度。相较于HTTP/1.1，其采用了多路复用技术，允许并行处理多个请求与响应，大幅缩短了延迟时间。更进一步，HTTP/2结合了头部压缩与服务器推送功能，显着优化了数据传输效率。得益于这些优势，HTTP/2正逐渐被各大网站和应用所采用，预示着互联网新时代的到来。

然而，HTTP/2的广泛应用也带来了新的安全挑战。

高效性能背后的安全隐患

为追求极致的处理性能，HTTP/2不仅支持响应并发的TCP请求，并允许在服务器响应前快速重置流（RST_Stream）以节省带宽。攻击者捕捉到了这一点。他们频繁的向服务器发起大量请求，而在服务器即将响应时迅速发起重置，强迫服务器在高速处理请求的同时还得快速进行流的重置。这种策略使得服务器的资源迅速耗尽，成功发起DDoS攻击。早前，攻击者还通过多流请求大量数据，并操纵窗口的大小与流的优先级，迫使服务器一字节地排队数据，以此耗尽资源。与之类似的还有不停地向HTTP/2节点发送ping，导致对端积压响应，消耗大量CPU和内存，从而导致服务器无法响应。

绿盟抗拒绝服务系统（NSFOCUS ADS）防护建议

会话拦截

为应对这些攻击，我们首先在会话层面采取措施，通过限制新建连接和并发数来抵御频繁的异常请求，从而拦截异常会话。

HTTP/2防护算法

对于伪装成正常但频次较低的大规模攻击，单靠会话控制是不足够的。在2022年，绿盟科技抗拒绝服务系统（NSFOCUS ADS）就已经针对HTTP/2的特性推出了六大防护算法。经过一年的实战应用与市场检验，我们已积累了丰富的防护经验。

我们所采用的算法能够精准地辨别客户端的真实性，确保恶意请求无法通过。同时，我们还支持根据防护算法发送探测帧进行防护，并对HTTP/2帧进行RFC校验，以过滤部分非标准请求。在ADS的防护策略保护之下，伪造的请求无法触及服务器，确保服务器资源得到妥善使用，不被恶意消耗。

在科技飞速进化的背景下，新技术的涌现总是伴随着新的挑战。HTTP/2的出现无疑为我们的网络体验带来了飞跃，但同时也揭示了新的安全隐患。而绿盟科技抗拒绝服务系统（NSFOCUS ADS）始终密切关注业界的发展动态和安全威胁，站在技术前沿，持续研发先进的防护策略，致力于为客户提供先进、高效、稳固的防护方案。

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

本文链接：https://www.xckfsq.com/news/show.html?id=27665

赞同 0

评论 0 条

惊现每秒3.98亿次请求，DDoS攻击再次突破新高度

相关文章

关注我们