以下文章來源于谷歌云服務，作者 Google Cloud

此次攻擊采用了基于流多路復用的新型 HTTP/2 "快速重置" 方法

過去幾年中，Google 的 DDoS 響應團隊觀察到分布式拒絕服務 (DDoS) 攻擊的規模呈指數級增長趨勢。去年我們抵擋了當時記錄在案的最大 DDoS 攻擊 。今年 8 月，我們阻止了一次更大的 DDoS 攻擊，規模是去年的 7.5 倍，這次攻擊還使用了新的技術，試圖破壞網站和互聯網服務。

這一系列新的 DDoS 攻擊峰值達到了每秒 3.98 億次請求 (rps)，并使用了一種基于流多路復用的新型 HTTP/2 "快速重置" 技術，該技術已經對多家互聯網基礎設施公司造成影響。相比之下，去年記錄在案的最大規模的 DDoS 攻擊峰值為每秒 4600 萬次請求。

就規模而言，這起兩分鐘的攻擊產生的請求數量超過了維基百科報告的 2023 年 9 月全月的文章瀏覽總量。

Google 擊退了峰值達每秒3.98億次請求的

DDoS 攻擊

最近一波攻擊始于 8 月下旬，并持續至今，攻擊目標主要是基礎設施提供商，其中包括 Google 服務、Google Cloud 基礎設施和 Google Cloud 的客戶等。盡管這些攻擊是 Google 所見過的規模最大的攻擊之一，但我們的全球負載平衡和 DDoS 緩解基礎設施幫助我們保障了服務的正常運行。為了保護 Google、我們的用戶以及互聯網的其他部分，我們協助主導了與行業合作伙伴的協調工作，以了解攻擊機制，并合作部署可應對這些攻擊的緩解措施。

一般而言，DDoS 攻擊試圖破壞面向互聯網的網站和服務，使其無法訪問。攻擊者將大量互聯網流量導向攻擊目標，耗盡其處理傳入請求的能力。

DDoS 攻擊會對受害組織造成廣泛影響，包括業務損失和關鍵任務應用程序無法運行等，往往會耗費受害者的時間和金錢。從 DDoS 攻擊中恢復所花的時間可能遠遠超過攻擊結束的時間。

我們的調查和應對之策

我們的調查發現，本次攻擊使用了一種新型 "快速重置" 方法，利用了廣泛采用的 HTTP/2 協議的流多路復用功能。我們在一篇配套博客中進一步分析了這種新的快速重置方法，并討論了第 7 層攻擊的演變。

我們發現2023年9月期間攻擊活動仍在繼續

我們能夠在 Google 網絡邊緣緩解攻擊，利用在邊緣節點容量方面的可觀投資，確保 Google 服務和用戶服務基本不受影響。隨著對攻擊方法了解得越來越詳細，我們開發了一套緩解措施，并更新了我們的代理和拒絕服務攻擊防御系統，以有效遏制這種攻擊方法。因為 Google Cloud 的 應用負載均衡器 和 Cloud Armor 所使用的硬件和軟件基礎設施與 Google 自身面向互聯網的服務所采用的硬件和軟件基礎設施相同，因此使用這些服務的 Google Cloud 客戶使得其面向互聯網的網絡應用和服務也受到了類似的保護。

行業協作與 CVE-2023-44487 應對措施

在 8 月份檢測到這些攻擊的最初信號之后不久，Google 即采用了額外的緩解策略，并與其他實施 HTTP/2 協議棧的云提供商和的軟件維護者協調了采取跨行業響應措施。在攻擊發生時，我們實時共享了有關攻擊和緩解方法的信息。

得益于這一跨行業協作，許多大型基礎設施提供商都使用了補丁和其他緩解技術。這樣的合作為今天以負責的態度統一披露新的攻擊方法以及眾多常見開源和商用代理服務器、應用服務器和負載平衡器的潛在易感性打下了基礎。

這次攻擊的集體易感性被跟蹤為 CVE-2023-44487，并被定為高嚴重性漏洞，CVSS 得分為 7.5 (滿分 10 分)。

Google 衷心感謝所有跨行業的利益相關者，感謝他們通力合作、共享信息、加快對基礎設施的打補丁，并迅速向客戶提供補丁程序。

攻擊易感者和相應的解決辦法

向互聯網提供基于 HTTP 的工作負載的任何企業或個人都可能面臨被這種攻擊入侵的風險。能夠使用 HTTP/2 協議進行通信的服務器或代理上的網絡應用程序、服務和 API 都可能存在漏洞。企業應驗證其運行的任何支持 HTTP/2 的服務器是否存在漏洞，或應用 CVE-2023-44487 的供應商修補程序，以此限制這一攻擊向量的影響。如果您正在管理或運行支持 HTTP/2 協議的自有服務器 (開源或商用)，則應在相關供應商推出補丁時立即安裝。

后續措施

防御大規模 DDoS 攻擊 (如本文所述) 是一件非常困難的事情。無論是否有補丁，企業都需要重金投資基礎設施，才能在面對任何中等規?；蚋笠幠５墓魰r保持服務正常運行。在 Google Cloud 上運行服務的企業無需自己承擔這筆費用，而是可以利用我們在全球范圍內對 Cross-Cloud Network 的容量投資來交付和保護他們的應用程序。

若 Google Cloud 用戶提供的服務使用了全球或區域應用負載均衡器，則可以受益于 Cloud Armor 始終在線的 DDoS 保護，迅速緩解那些利用 CVE-2023-44487 等漏洞發起的攻擊。

盡管通過 Cloud Armor 始終在線的 DDoS 防護，我們能夠在 Google 網絡邊緣有效化解每秒數以億計的大部分請求，但每秒數以百萬計的不受歡迎的請求仍然能夠通過。為了防范這種攻擊和其他第 7 層攻擊，我們還建議部署 Cloud Armor 自定義安全策略，其中包括主動速率限制規則和基于人工智能的自適應保護，從而更加全面地檢測、分析和緩解攻擊流量。

---

?點擊屏末|閱讀原文|了解更多 Google Cloud 最新動態