HTTP / 2 协议存高危漏洞,可能引发拒绝服务攻击

描述

  4月8日,网络安全专家Bartek Nowotarski指出,近期发现了HTTP/2协议中的一处高风险漏洞,恶意用户可能利用该问题发动DoS攻击。他在1月25日向卡内基梅隆大学计算机应急小组(简称CERT)提交了详细报告,此漏洞名为“HTTP/2 CONTINUATION Flood”。

  该漏洞围绕着HTTP/2的配置缺陷展开,重点在于未能合理控制或者消除请求数据流中的CONTINUATION帧内容。这是一种延续报头块片段序列的技术,使得报头块能够拆分到不同的帧中。当服务器接收到END_HEADERS标识符,表示不再有请求数据,之前分拆的报头块便被认为处理完毕。

  若是HTTP/2的设计没有限制定义单个数据流能发出的CONTINUATION帧数上限,那么存在遭到攻击的可能性。攻击者可以通过向尚未设好END_HEADERS标识的服务器发送HTTP请求,然后不停地发送CONTINUATION帧流,从而占据服务器的内存空间,直至引发崩溃,顺利发起DoS攻击。

  HTTP/2又称HTTP2.0,作为全球统一的超文本传输协议,主要应用于互联网的网页浏览中。它借鉴了SPDY协议的部分优点,通过对HTTP头部数据的压缩以缩短传输时间、实施多通道复用技术以及推广服务端推送功能,以降低网络延迟,加速客户端页面载入速度。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分