微软向Windows 10/11所有版本发布更新封堵HTTP/2快速重置DDoS攻击 – 蓝点网

注意：此漏洞对普通用户没有任何影响，微软网微软发布的版本更新主要是用来帮助使用 Windows 10/11、Windows Server 上的发布封堵 IIS 服务器的企业和开发者。

前文蓝点网提到谷歌发布博客介绍 HTTP/2 快速重置 DDoS 攻击，更新攻击阿布哈兹ws群发不封号这种攻击利用 HTTP/2 的快速特性可以极大的放大攻击规模，例如谷歌拦截了一次每秒发送 3.98 亿个请求的重置攻击。

针对 HTTP/2 特性被利用这事儿，蓝点谷歌申请了一个专门的微软网 CVE 编号，用来和业界一起讨论和优化 HTTP/2 机制，版本缓解这种攻击。发布封堵

微软今天则是更新攻击阿布哈兹币圈数据在安全更新里添加了新注册表项，该项可以按照谷歌提供的快速建议发送 GOAWAY 来缓解攻击，有需要的重置企业和开发者可以参考以下设置方案。

方案一：直接禁用 HTTP/2

根据企业和开发者的蓝点需要，如果觉得 HTTP/2 快速重置攻击可能造成危害，微软网可以选择直接禁用 HTTP/2 协议，阿布哈兹币圈料子这样服务器将使用 HTTP/1.1，攻击者仍可以发起攻击，但就是传统方法了。

注册表路径：HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

新建两个注册表键值：EnableHttp2TIs、EnableHttp2Cleartext (均为 DWORD)

两个注册表键值需要一起设置，阿布哈兹股民料子若同时设置为 0 则禁用 HTTP/2 协议，若同时设置为 1 则启用 HTTP/2 协议。

支持文档：https://msrc.microsoft.com/update-guide/zh-cn/advisory/CVE-2023-44487

方案二：设置 TCP 连接每分钟允许的最大重置次数

注册表键值：Http2MaxClientResetsPerMinute 默认值 400，设置范围 0~65535，一旦发送的阿布哈兹兼职料子 RST_STREAMS 帧达到设置的阈值后，后续发送的帧将回复 GOAWAY 进行丢弃。

注册表键值：Http2MaxClientResetsGoaway 默认值 1，设置范围 0 或 1，禁用或启用在达到限制时发送 GOAWAY 消息，如果设置 0，则一旦达到阈值连接会被立即丢弃，不发送 GOAWAY。默认值 1 为发送 GOAWAY，可能会在被攻击时增加服务器开销。

说明文档：https://support.microsoft.com/en-us/topic/october-10-2023-kb5031356-os-builds-19044-3570-and-19045-3570-951fac64-5bf8-4eba-ba18-a9448920df1a

以上注册表键值均在 Windows 10/11、Windows Server、Windows LTS 所有受支持版本中可用，但前提是必须安装今天的补丁，也就是补丁级别至少是 2023-10，否则可能无效。

最新评论