注意:此漏洞對普通用戶沒有任何影響,微軟網(wǎng)微軟發(fā)布的版本更新主要是用來幫助使用 Windows 10/11、Windows Server 上的發(fā)布封堵三亞外圍價(jià)格查詢(電話微信156-8194-*7106)三亞外圍女價(jià)格多少 IIS 服務(wù)器的企業(yè)和開發(fā)者。
前文藍(lán)點(diǎn)網(wǎng)提到谷歌發(fā)布博客介紹 HTTP/2 快速重置 DDoS 攻擊,更新攻擊這種攻擊利用 HTTP/2 的快速特性可以極大的放大攻擊規(guī)模,例如谷歌攔截了一次每秒發(fā)送 3.98 億個(gè)請求的重置攻擊。
針對 HTTP/2 特性被利用這事兒,藍(lán)點(diǎn)谷歌申請了一個(gè)專門的微軟網(wǎng) CVE 編號,用來和業(yè)界一起討論和優(yōu)化 HTTP/2 機(jī)制,版本緩解這種攻擊。發(fā)布封堵
微軟今天則是更新攻擊三亞外圍價(jià)格查詢(電話微信156-8194-*7106)三亞外圍女價(jià)格多少在安全更新里添加了新注冊表項(xiàng),該項(xiàng)可以按照谷歌提供的快速建議發(fā)送 GOAWAY 來緩解攻擊,有需要的重置企業(yè)和開發(fā)者可以參考以下設(shè)置方案。
方案一:直接禁用 HTTP/2
根據(jù)企業(yè)和開發(fā)者的藍(lán)點(diǎn)需要,如果覺得 HTTP/2 快速重置攻擊可能造成危害,微軟網(wǎng)可以選擇直接禁用 HTTP/2 協(xié)議,這樣服務(wù)器將使用 HTTP/1.1,攻擊者仍可以發(fā)起攻擊,但就是傳統(tǒng)方法了。
注冊表路徑:HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
新建兩個(gè)注冊表鍵值:EnableHttp2TIs、EnableHttp2Cleartext (均為 DWORD)
兩個(gè)注冊表鍵值需要一起設(shè)置,若同時(shí)設(shè)置為 0 則禁用 HTTP/2 協(xié)議,若同時(shí)設(shè)置為 1 則啟用 HTTP/2 協(xié)議。
支持文檔:https://msrc.microsoft.com/update-guide/zh-cn/advisory/CVE-2023-44487
方案二:設(shè)置 TCP 連接每分鐘允許的最大重置次數(shù)
注冊表鍵值:Http2MaxClientResetsPerMinute 默認(rèn)值 400,設(shè)置范圍 0~65535,一旦發(fā)送的 RST_STREAMS 幀達(dá)到設(shè)置的閾值后,后續(xù)發(fā)送的幀將回復(fù) GOAWAY 進(jìn)行丟棄。
注冊表鍵值:Http2MaxClientResetsGoaway 默認(rèn)值 1,設(shè)置范圍 0 或 1,禁用或啟用在達(dá)到限制時(shí)發(fā)送 GOAWAY 消息,如果設(shè)置 0,則一旦達(dá)到閾值連接會被立即丟棄,不發(fā)送 GOAWAY。默認(rèn)值 1 為發(fā)送 GOAWAY,可能會在被攻擊時(shí)增加服務(wù)器開銷。
說明文檔:https://support.microsoft.com/en-us/topic/october-10-2023-kb5031356-os-builds-19044-3570-and-19045-3570-951fac64-5bf8-4eba-ba18-a9448920df1a
以上注冊表鍵值均在 Windows 10/11、Windows Server、Windows LTS 所有受支持版本中可用,但前提是必須安裝今天的補(bǔ)丁,也就是補(bǔ)丁級別至少是 2023-10,否則可能無效。
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
