|
注意:此漏洞對(duì)普通用戶沒(méi)有任何影響,微軟網(wǎng)微軟發(fā)布的版本更新主要是用來(lái)幫助使用 Windows 10/11、Windows Server 上的發(fā)布封堵貴陽(yáng)外圍全球資源(微信189-4469-7302)貴陽(yáng)外圍全球資源提供全國(guó)外圍高端商務(wù)模特伴游 IIS 服務(wù)器的企業(yè)和開(kāi)發(fā)者。 前文藍(lán)點(diǎn)網(wǎng)提到谷歌發(fā)布博客介紹 HTTP/2 快速重置 DDoS 攻擊,更新攻擊這種攻擊利用 HTTP/2 的快速特性可以極大的放大攻擊規(guī)模,例如谷歌攔截了一次每秒發(fā)送 3.98 億個(gè)請(qǐng)求的重置攻擊。 針對(duì) HTTP/2 特性被利用這事兒,藍(lán)點(diǎn)谷歌申請(qǐng)了一個(gè)專門的微軟網(wǎng) CVE 編號(hào),用來(lái)和業(yè)界一起討論和優(yōu)化 HTTP/2 機(jī)制,版本緩解這種攻擊。發(fā)布封堵 微軟今天則是更新攻擊貴陽(yáng)外圍全球資源(微信189-4469-7302)貴陽(yáng)外圍全球資源提供全國(guó)外圍高端商務(wù)模特伴游在安全更新里添加了新注冊(cè)表項(xiàng),該項(xiàng)可以按照谷歌提供的快速建議發(fā)送 GOAWAY 來(lái)緩解攻擊,有需要的重置企業(yè)和開(kāi)發(fā)者可以參考以下設(shè)置方案。
方案一:直接禁用 HTTP/2 根據(jù)企業(yè)和開(kāi)發(fā)者的藍(lán)點(diǎn)需要,如果覺(jué)得 HTTP/2 快速重置攻擊可能造成危害,微軟網(wǎng)可以選擇直接禁用 HTTP/2 協(xié)議,這樣服務(wù)器將使用 HTTP/1.1,攻擊者仍可以發(fā)起攻擊,但就是傳統(tǒng)方法了。 注冊(cè)表路徑:HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters 新建兩個(gè)注冊(cè)表鍵值:EnableHttp2TIs、EnableHttp2Cleartext (均為 DWORD) 兩個(gè)注冊(cè)表鍵值需要一起設(shè)置,若同時(shí)設(shè)置為 0 則禁用 HTTP/2 協(xié)議,若同時(shí)設(shè)置為 1 則啟用 HTTP/2 協(xié)議。 支持文檔:https://msrc.microsoft.com/update-guide/zh-cn/advisory/CVE-2023-44487 方案二:設(shè)置 TCP 連接每分鐘允許的最大重置次數(shù) 注冊(cè)表鍵值:Http2MaxClientResetsPerMinute 默認(rèn)值 400,設(shè)置范圍 0~65535,一旦發(fā)送的 RST_STREAMS 幀達(dá)到設(shè)置的閾值后,后續(xù)發(fā)送的幀將回復(fù) GOAWAY 進(jìn)行丟棄。 注冊(cè)表鍵值:Http2MaxClientResetsGoaway 默認(rèn)值 1,設(shè)置范圍 0 或 1,禁用或啟用在達(dá)到限制時(shí)發(fā)送 GOAWAY 消息,如果設(shè)置 0,則一旦達(dá)到閾值連接會(huì)被立即丟棄,不發(fā)送 GOAWAY。默認(rèn)值 1 為發(fā)送 GOAWAY,可能會(huì)在被攻擊時(shí)增加服務(wù)器開(kāi)銷。 說(shuō)明文檔:https://support.microsoft.com/en-us/topic/october-10-2023-kb5031356-os-builds-19044-3570-and-19045-3570-951fac64-5bf8-4eba-ba18-a9448920df1a 以上注冊(cè)表鍵值均在 Windows 10/11、Windows Server、Windows LTS 所有受支持版本中可用,但前提是必須安裝今天的補(bǔ)丁,也就是補(bǔ)丁級(jí)別至少是 2023-10,否則可能無(wú)效。 |
