摘要

自2023年9月起，微软收到行业合作伙伴通知，发现针对HTTP/2协议的新型分布式拒绝服务(DDoS)攻击技术。此漏洞(CVE-2023-44487)影响所有暴露在互联网上的HTTP/2端点。作为行业领导者，微软立即展开调查，并与行业合作伙伴协调制定披露和缓解计划。微软建议客户遵循本博客提供的指导，确保服务得到加固并免受此DDoS攻击技术的影响。

这种被称为"HTTP/2 Rapid Reset"的DDoS攻击利用了HTTP/2实现中的一个缺陷。微软迅速为IIS(HTTP.sys)、.NET(Kestrel)和Windows创建了缓解措施，这些措施作为2023年10月10日发布的微软安全更新的一部分。

虽然此DDoS可能影响服务可用性，但单独不会导致客户数据泄露，目前我们没有发现客户数据被泄露的证据。

攻击详情

此HTTP/2漏洞允许恶意行为者针对HTTP/2服务器发起DDoS攻击。攻击发送一组使用HEADERS后跟RST_STREAM的HTTP请求，并重复此模式以在目标HTTP/2服务器上生成大量流量。通过在单个连接中打包多个HEADERS和RST_STREAM帧，攻击者可以导致每秒请求数显著增加和服务器CPU利用率升高，最终可能导致资源耗尽。

保护服务免受CVE-2023-44487影响

此HTTP DDoS活动主要针对第7层而非第3或第4层。微软加固了Web服务实现中的第7层防护，并修补了服务以更好地保护客户免受这些DDoS攻击的影响。虽然这些工具和技术在缓解大多数中断方面非常有效，但微软持续审查其加固能力的性能，并将经验教训纳入改进其有效性。

• 用于托管Web应用程序的Microsoft服务已应用安全更新以提供针对此攻击的缓解措施
• 微软建议自托管Web应用程序的客户尽快使用Windows更新或开源软件(OSS)修复程序修补Web服务器/代理
• 建议在Azure Front Door或Azure Application Gateway上启用Azure Web应用程序防火墙(WAF)以进一步提高安全状况
• 建议尽可能限制对Web应用程序的互联网访问
• 如果无法应用适当的补丁且Web应用程序未受Azure Front Door或Application Gateway上的WAF保护，考虑禁用Web服务上的HTTP2

建议 - 第7层DDoS防护技巧

微软建议使用第7层防护服务，如Azure Web应用程序防火墙(WAF)(通过Azure Front Door、Azure Application Gateway提供)来保护Web应用程序。

如果使用Azure Front Door或Application Gateway上的Azure WAF：

• 使用机器人防护托管规则集提供针对已知恶意机器人的防护
• 阻止识别为恶意的IP地址和范围
• 阻止、限制或重定向来自定义地理区域之外或区域内的流量
• 创建速率限制自定义规则以自动阻止和限制具有已知签名的HTTP或HTTPS攻击

如果使用Azure API Management：

• 将API Management实例部署到虚拟网络中并启用DDoS保护
• 应用第7层速率限制策略以阻止过多的HTTP流量

Azure和M365

根据云共享责任模型，Microsoft将使用安全部署实践为Microsoft管理的SaaS和PaaS服务以及IaaS自动修补服务应用适当的安全更新。此外，这些服务还受到DDoS服务的保护。

微软遵循协调漏洞披露(CVD)，系统地负责任地管理安全漏洞的发现、报告和修复。我们要感谢Amazon、Cloudflare和Google根据协调漏洞披露(CVD)报告此漏洞。

参考资料

• Application DDoS protection - Azure Web Application Firewall | Microsoft Learn
• DDoS protection on Azure Front Door | Microsoft Learn
• 2022 in review: DDoS attack trends and insights | Microsoft Security Blog
• Joint CISA FBI MS-ISAC Guide on Responding to DDoS Attacks and DDoS Guidance for Federal Agencies | CISA