新的“MadeYouReset”方法利用 HTTP/2 进行隐秘的 DoS 攻击

安全研究人员发现了一种针对 HTTP/2 实现的新型拒绝服务 (DoS) 技术,称为"MadeYouReset"(CVE-2025-8671)。

此次攻击会导致服务器重置自身连接并过度消耗资源,有可能通过分布式拒绝服务 (DDoS) 活动严重破坏未修补的系统。

该漏洞由特拉维夫大学的 Gal Bar Nahum、Anat Bremler-Barr 教授和 Yaniv Harel 博士与 Imperva 的研究人员合作发现。该漏洞由CERT 协调中心披露,其机制揭示了 2023 年"快速重置"漏洞 (CVE-2023-44487) 的微妙但危险的演变。快速重置依赖于客户端明确发送 RST_STREAM 帧,而 MadeYouReset 则利用格式错误但符合协议的帧来诱使服务器自行发出重置指令。

欺骗性的合规漏洞

该漏洞的核心在于 HTTP/2 规范与实际服务器行为不匹配。HTTP/2 允许客户端和服务器随时取消流。实际上,许多实现即使在流重置后仍会继续处理请求,从而导致资源泄漏。MadeYouReset 利用了这一点,通过发送巧妙违反协议的特制帧,促使服务器重置流,而不会释放后端处理资源。

此次攻击使用的关键技术包括:

  • Window-Overflow:发送超出允许的流控制窗口大小的 WINDOW_UPDATE 帧,从而触发重置。
  • 零增量更新:使用增量为 0 的 WINDOW_UPDATE 帧,服务器以 PROTOCOL_ERROR 和 RST_STREAM 进行响应。
  • 半关闭流滥用:在流半关闭后发送额外的 DATA 或 HEADERS 帧,强制服务器端重置。
  • 优先级长度不匹配:发送长度不正确的优先级帧,导致错误状态和重置。

MadeYouReset 攻击概述

这些行为会导致流看似对协议关闭,但在服务器后端仍然处于活动状态,从而使攻击者能够有效绕过 SETTINGS_MAX_CONCURRENT_STREAMS 限制。随着时间的推移,这会导致内存或 CPU 耗尽,最终导致服务降级或中断。

影响范围及缓解措施

该漏洞影响几种广泛使用的 HTTP/2 实现,包括 Apache Tomcat(单独跟踪为 CVE-2025-48989)、Netty、Jetty、IBM WebSphere、BIG-IP(F5)、gRPC、Mozilla、Eclipse Foundation、Fastly、Varnish、SUSE Linux、Zephyr Project 和 Wind River。

许多供应商已经发布或正在准备补丁。CERT/CC建议审查供应商的建议并立即应用相关更新。

由于在 2023 年 Rapid Reset 事件期间部署了现有缓解措施,Cloudflare 等一些主要基础设施提供商未受此次攻击影响。Cloudflare指出,由于已部署了主动速率限制和行为检测机制,其系统不易受到攻击。其开源 Pingora 框架依赖于基于 Rust 的 H2 库,在旧版本中可能会受到影响。建议用户更新至 H2 v0.4.11 或更高版本。

Imperva 强调,MadeYouReset 技术更难检测,因为它不依赖于明显的协议违规。相反,它发送格式良好的帧,触发符合规范的服务器端错误处理,使得攻击流量几乎与合法的 HTTP/2 活动难以区分。现有的客户端发送 RST_STREAM 帧的速率限制在这里无效,因为重置源自服务器本身,是为了响应协议边缘情况。

运行 HTTP/2 服务器的组织应应用软件供应商和 HTTP/2 库维护者提供的所有可用更新,在数据包解析期间尽早删除格式错误或不兼容的帧,并确保服务器端逻辑独立于协议级流状态处理后端请求。

相关推荐
lingggggaaaa28 分钟前
小迪安全v2023学习笔记(七十九讲)—— 中间件安全&IIS&Apache&Tomcat&Nginx&CVE
笔记·学习·安全·web安全·网络安全·中间件·apache
想睡hhh2 小时前
HTTPS协议——对于HTTP的协议的加密
http·https
@是你太难忘2 小时前
计算机网络IP协议
网络·tcp/ip·计算机网络
attitude.x2 小时前
Swift 协议扩展与泛型:构建灵活、可维护的代码的艺术
运维·服务器·网络
RTC老炮3 小时前
webrtc弱网-LossBasedBandwidthEstimation类源码分析与算法原理
网络·算法·webrtc
想成为大佬的每一天4 小时前
Linux:NTP服务
linux·网络
无线图像传输研究探索4 小时前
无定位更安全:5G 高清视频终端的保密场景适配之道
5g·安全·音视频·无人机·5g单兵图传·单兵图传·无人机图传
喜欢你,还有大家4 小时前
SSH服务远程安全登录
运维·安全·ssh
福大大架构师每日一题4 小时前
go 1.25.1发布:重点修复net/http跨域保护安全漏洞(CVE-2025-47910)
开发语言·http·golang
Chan164 小时前
消息推送的三种常见方式:轮询、SSE、WebSocket
java·网络·websocket·网络协议·http·sse