可能會在被攻擊時增加服務器開銷。Windows LTS 所有受支持版本中可用,
注冊表鍵值:Http2MaxClientResetsGoaway 默認值 1,微軟發布的更新主要是用來幫助使用 Windows 10/11、EnableHttp2Cleartext (均為 DWORD)
兩個注冊表鍵值需要一起設置,Windows Server、
方案一:直接禁用 HTTP/2
根據企業和開發者的需要,後續發送的幀將回複 GOAWAY 進行丟棄。Windows Server 上的 IIS 服務器的企業和開發者。穀歌申請了一個專門的 CVE 編號,一旦發送的 RST_STREAMS 幀達到設置的閾值後,緩解這種攻擊。例如穀歌攔截了一次每秒發送 3.98 億個請求的攻擊。不發送 GOAWAY。設置範圍 0 或 1,也就是補丁級別至少是 2023-10,則一旦達到閾值連接會被立即丟棄,
但就是傳統方法了。說明文檔:https://support.microsoft.com/en-us/topic/october-10-2023-kb5031356-os-builds-19044-3570-and-19045-3570-951fac64-5bf8-4eba-ba18-a9448920df1a
以上注冊表鍵值均在 Windows 10/11、禁用或啟用在達到限製時發送 GOAWAY 消息,
注冊表路徑:HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
新建兩個注冊表鍵值:EnableHttp2TIs、
支持文檔:https://msrc.microsoft.com/update-guide/zh-cn/advisory/CVE-2023-44487
方案二:設置 TCP 連接每分鍾允許的最大重置次數
注冊表鍵值:Http2MaxClientResetsPerMinute 默認值 400,
針對 HTTP/2 特性被利用這事兒,有需要的企業和開發者可以參考以下設置方案。
注意:此漏洞對普通用戶沒有任何影響,否則可能無效。這種攻擊利用 HTTP/2 的特性可以極大的放大攻擊規模,若同時設置為 0 則禁用 HTTP/2 協議,用來和業界一起討論和優化 HTTP/2 機製,該項可以按照穀歌提供的建議發送 GOAWAY 來緩解攻擊,但前提是必須安裝今天的補丁,這樣服務器將使用 HTTP/1.1,設置範圍 0~65535,若同時設置為 1 則啟用 HTTP/2 協議。
微軟今天則是在安全更新裏添加了新注冊表項,攻擊者仍可以發起攻擊,如果設置 0,如果覺得 HTTP/2 快速重置攻擊可能造成危害,可以選擇直接禁用 HTTP/2 協議,
前文藍點網提到穀歌發布博客介紹 HTTP/2 快速重置 DDoS 攻擊,默認值 1 為發送 GOAWAY,
