新的“MadeYouReset”方法利用 HTTP/2 进行隐秘的 DoS 攻击

安全研究人员发现了一种针对 HTTP/2 实现的新型拒绝服务 (DoS) 技术,称为"MadeYouReset"(CVE-2025-8671)。

此次攻击会导致服务器重置自身连接并过度消耗资源,有可能通过分布式拒绝服务 (DDoS) 活动严重破坏未修补的系统。

该漏洞由特拉维夫大学的 Gal Bar Nahum、Anat Bremler-Barr 教授和 Yaniv Harel 博士与 Imperva 的研究人员合作发现。该漏洞由CERT 协调中心披露,其机制揭示了 2023 年"快速重置"漏洞 (CVE-2023-44487) 的微妙但危险的演变。快速重置依赖于客户端明确发送 RST_STREAM 帧,而 MadeYouReset 则利用格式错误但符合协议的帧来诱使服务器自行发出重置指令。

欺骗性的合规漏洞

该漏洞的核心在于 HTTP/2 规范与实际服务器行为不匹配。HTTP/2 允许客户端和服务器随时取消流。实际上,许多实现即使在流重置后仍会继续处理请求,从而导致资源泄漏。MadeYouReset 利用了这一点,通过发送巧妙违反协议的特制帧,促使服务器重置流,而不会释放后端处理资源。

此次攻击使用的关键技术包括:

  • Window-Overflow:发送超出允许的流控制窗口大小的 WINDOW_UPDATE 帧,从而触发重置。
  • 零增量更新:使用增量为 0 的 WINDOW_UPDATE 帧,服务器以 PROTOCOL_ERROR 和 RST_STREAM 进行响应。
  • 半关闭流滥用:在流半关闭后发送额外的 DATA 或 HEADERS 帧,强制服务器端重置。
  • 优先级长度不匹配:发送长度不正确的优先级帧,导致错误状态和重置。

MadeYouReset 攻击概述

这些行为会导致流看似对协议关闭,但在服务器后端仍然处于活动状态,从而使攻击者能够有效绕过 SETTINGS_MAX_CONCURRENT_STREAMS 限制。随着时间的推移,这会导致内存或 CPU 耗尽,最终导致服务降级或中断。

影响范围及缓解措施

该漏洞影响几种广泛使用的 HTTP/2 实现,包括 Apache Tomcat(单独跟踪为 CVE-2025-48989)、Netty、Jetty、IBM WebSphere、BIG-IP(F5)、gRPC、Mozilla、Eclipse Foundation、Fastly、Varnish、SUSE Linux、Zephyr Project 和 Wind River。

许多供应商已经发布或正在准备补丁。CERT/CC建议审查供应商的建议并立即应用相关更新。

由于在 2023 年 Rapid Reset 事件期间部署了现有缓解措施,Cloudflare 等一些主要基础设施提供商未受此次攻击影响。Cloudflare指出,由于已部署了主动速率限制和行为检测机制,其系统不易受到攻击。其开源 Pingora 框架依赖于基于 Rust 的 H2 库,在旧版本中可能会受到影响。建议用户更新至 H2 v0.4.11 或更高版本。

Imperva 强调,MadeYouReset 技术更难检测,因为它不依赖于明显的协议违规。相反,它发送格式良好的帧,触发符合规范的服务器端错误处理,使得攻击流量几乎与合法的 HTTP/2 活动难以区分。现有的客户端发送 RST_STREAM 帧的速率限制在这里无效,因为重置源自服务器本身,是为了响应协议边缘情况。

运行 HTTP/2 服务器的组织应应用软件供应商和 HTTP/2 库维护者提供的所有可用更新,在数据包解析期间尽早删除格式错误或不兼容的帧,并确保服务器端逻辑独立于协议级流状态处理后端请求。

相关推荐
cozil13 小时前
tcpdump 使用详解
网络·测试工具·tcpdump
Lowjin_13 小时前
计算机网路-TCP
网络·网络协议·tcp/ip
tang7778913 小时前
“交易IP被标记?”—— 金融数据API调用的代理IP合规指南
网络·tcp/ip·金融
Dobby_0513 小时前
【计算机基础】网络系列(一)HTTP
网络·http
ICT系统集成阿祥14 小时前
VLAN间通信的技术原理与实验案例
网络·智能路由器
Voyager_414 小时前
双网卡服务器校园网访问故障排查与解决
服务器·网络·智能路由器
艾菜籽14 小时前
网络原理-网络层
网络
ZHANG13HAO14 小时前
Android 13 完整实现 USB 网卡支持与网络优先级配置(USB>WiFi>4G)
android·网络
小李飞刀李寻欢14 小时前
kauditd0 病毒/挖矿程序完全清除方法初试
网络·安全·病毒·挖矿
荣光波比14 小时前
Docker(二)—— Docker核心功能全解析:网络、资源控制、数据卷与镜像构建实战
运维·网络·docker·容器·云计算