微软应对HTTP/2分布式拒绝服务(DDoS)攻击的技术响应

微软针对CVE-2023-44487漏洞的HTTP/2 Rapid Reset DDoS攻击技术响应,包括IIS、.NET和Windows的修复方案,以及Azure WAF防护建议和Layer 7 DDoS防护策略。

摘要

自2023年9月起,微软收到行业合作伙伴通知,发现一种针对HTTP/2协议的新型分布式拒绝服务(DDoS)攻击技术。该漏洞(CVE-2023-44487)影响所有暴露于互联网的HTTP/2端点。作为行业领导者,微软迅速展开调查,并与行业合作伙伴协调披露和缓解计划。微软建议客户遵循本博客提供的指导,以确保服务加固并防护此DDoS攻击技术。

此DDoS攻击称为“HTTP/2 Rapid Reset”,利用HTTP/2实现中的缺陷。微软迅速为IIS(HTTP.sys)、.NET(Kestrel)和Windows创建了缓解措施,这些措施作为2023年10月10日发布的微软安全更新的一部分。

尽管此DDoS可能影响服务可用性,但它本身不会导致客户数据泄露,目前我们未发现客户数据被泄露的证据。

攻击详情

此HTTP/2漏洞允许恶意行为者发起针对HTTP/2服务器的DDoS攻击。攻击发送一组HTTP请求,使用HEADERS后跟RST_STREAM,并重复此模式以在目标HTTP/2服务器上生成高流量。通过将多个HEADERS和RST_STREAM帧打包到单个连接中,攻击者可以导致每秒请求数显著增加和服务器高CPU利用率,最终可能导致资源耗尽。

保护服务免受CVE-2023-44487影响

此HTTP DDoS活动主要针对第7层而非第3或第4层。微软加固了Web服务实现中的第7层防护,并修补了服务以更好地保护客户免受这些DDoS攻击的影响。尽管这些工具和技术在缓解大多数中断方面非常有效,微软持续审查其加固能力的性能,并将经验融入改进其有效性。

  • 用于托管Web应用程序的微软服务已应用安全更新以提供针对此攻击的缓解措施。
  • 微软建议自托管Web应用程序的客户尽快通过Windows更新或开源软件(OSS)修复程序修补Web服务器/代理,以保护其环境。受影响的产品已在微软安全更新指南中发布。
  • 微软建议在Azure Front Door或Azure Application Gateway上启用Azure Web应用程序防火墙(WAF)以进一步提高安全态势。WAF速率限制规则在提供额外防护方面有效。查看建议部分或本博客以获取更多详情。
  • 微软建议尽可能限制对Web应用程序的互联网访问。
  • 如果无法应用适当补丁且Web应用程序未受Azure Front Door或Application Gateway上的WAF保护,请考虑在Web服务上禁用HTTP2。请注意,禁用HTTP2协议应是一个慎重的决定,仔细评估其对产品和服务的潜在影响,因为它可能显著影响性能和用户体验。

建议 – 第7层DDoS防护提示

微软建议使用第7层防护服务,如Azure Web应用程序防火墙(WAF)(可通过Azure Front Door、Azure Application Gateway获得)以保护Web应用程序。查看以下缓解指导以减少第7层DDoS攻击的影响:应用程序DDoS防护。

如果使用Azure Front Door或Application Gateway上的Azure WAF:

  • 使用机器人防护托管规则集提供针对已知恶意机器人的防护。更多信息,请参见在Azure Front Door上配置机器人防护和在Application Gateway上配置机器人防护。
  • 应阻止您识别为恶意的IP地址和范围。更多信息,请参见在Azure Front Door上创建和使用自定义规则和在Application Gateway上创建和使用v2自定义规则的示例。
  • 应阻止、速率限制或重定向到静态网页的流量来自定义地理区域之外或之内。更多信息,请参见在Azure Front Door上创建和使用自定义规则和在Application Gateway上创建和使用v2自定义规则的示例。
  • 创建速率限制自定义规则以自动阻止和速率限制具有已知签名的HTTP或HTTPS攻击。更多信息,请参见在Azure Front Door上创建速率限制自定义规则和在Application Gateway上创建速率限制自定义规则的示例。

如果使用Azure API Management,除了前置WAF外,客户应启用以下配置:

  • 将API Management实例部署到虚拟网络并启用DDoS防护。
  • 应用第7层速率限制策略以阻止过多HTTP流量。

Azure和M365

根据云共享责任模型,微软将使用安全部署实践为微软管理的SaaS和PaaS服务以及IaaS自动修补服务应用适当的安全更新。此外,这些服务还受DDoS服务保护。鼓励使用手动修补的IaaS服务的客户根据上述指导应用更新。

微软遵循协调漏洞披露(CVD),系统且负责任地管理安全漏洞的发现、报告和修复。CVD使我们能够与研究人员和更广泛的安全社区合作,优先考虑用户安全和系统完整性。通过遵循协调方法,我们可以与研究人员和行业合作伙伴合作,确保在漏洞公开之前解决潜在漏洞,降低利用风险。

任何健壮安全态势的一部分是与研究人员合作帮助发现漏洞,以便我们可以在漏洞细节广泛可用和被滥用之前修复任何发现。我们要感谢Amazon、Cloudflare和Google在协调漏洞披露(CVD)下报告此漏洞。我们还要感谢开源社区中与微软安全响应中心(MSRC)合作开发修复程序并帮助保护微软客户安全的合作伙伴。

参考

  • 应用程序DDoS防护 - Azure Web应用程序防火墙 | Microsoft Learn
  • Azure Front Door上的DDoS防护 | Microsoft Learn
  • 2022年回顾:DDoS攻击趋势和洞察 | Microsoft安全博客
  • CISA FBI MS-ISAC关于响应DDoS攻击的联合指南和联邦机构DDoS指南 | CISA
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次