HTTP/2 与 HTTP/3 DDoS：新协议带来的新攻击面

引言

互联网协议的演进旨在提升性能、安全性和用户体验。HTTP/2 和 HTTP/3 作为超文本传输协议的最新版本，引入了多项创新特性，显著改善了网页加载速度和整体效率。然而，正如所有新技术一样，这些进步也伴随着新的安全挑战，特别是针对分布式拒绝服务（DDoS）攻击。DDoS 攻击旨在通过淹没目标服务器的资源，使其对合法用户不可用。本文将深入探讨 HTTP/2 和 HTTP/3 协议如何为 DDoS 攻击者提供新的攻击面，以及这些攻击的原理和潜在影响。

HTTP/2 带来的新攻击面

HTTP/2 协议在 2015 年发布，旨在解决 HTTP/1.1 的一些固有缺陷。其核心改进包括多路复用（Multiplexing）、头部压缩（HPACK）和服务器推送（Server Push）。这些特性在提高效率的同时，也带来了独特的DDoS攻击风险。

1. 多路复用与"快速重置"（Rapid Reset）攻击

HTTP/2 最显著的特性之一是多路复用，它允许在单个 TCP 连接上同时发送多个请求和响应。与 HTTP/1.1 中每个请求都需要建立独立连接不同，多路复用大大减少了连接开销，提升了性能。然而，这一特性也成为"快速重置"（Rapid Reset）DDoS 攻击的利用点。

"快速重置"攻击利用了 HTTP/2 的流取消（stream cancellation）功能。攻击者在建立一个 HTTP/2 连接后，会发送大量的请求，并立即取消这些请求。通过自动化这种"请求-取消"模式，攻击者可以在单个连接上产生海量的请求，而不会耗尽服务器的并发流限制。由于服务器在处理取消请求时仍会消耗资源，这种攻击方式能够以极低的攻击成本对目标服务器造成巨大的资源消耗，从而导致服务拒绝。2023 年，Cloudflare、Google 和 Amazon AWS 都披露了这种新型的零日漏洞，并遭遇了破纪录的 DDoS 攻击，其中最高峰值达到每秒 3.98 亿次请求¹²³。

此外，Imperva 和特拉维夫大学的研究人员在 2025 年发现了一种名为"MadeYouReset"的 HTTP/2 漏洞，其攻击方式与"快速重置"类似。攻击者通过发送畸形帧或流量控制错误，诱导服务器重置流，但服务器在重置流后仍会继续处理后端请求，从而导致服务器处理无限数量的并发 HTTP/2 请求，最终引发 DDoS 攻击⁴⁵。

2. HPACK 头部压缩与"HPACK Bomb"攻击

HTTP/2 引入了 HPACK 头部压缩算法，旨在减少请求和响应头部的大小，从而节省带宽。HPACK 通过使用静态表、动态表和霍夫曼编码来实现高效压缩。然而，HPACK 的实现方式也可能被滥用，导致一种被称为"HPACK Bomb"的拒绝服务攻击。

"HPACK Bomb"攻击类似于"解压炸弹"（zip bomb），利用了 HPACK 头部压缩的动态表机制。攻击者可以精心构造一个小的请求头部，其中包含一个或多个会极大地扩展动态表的字段。当服务器尝试解压缩这些头部时，由于动态表需要分配大量的内存来存储解压后的数据，服务器的内存资源会被迅速耗尽，最终导致服务崩溃或性能下降⁴¹⁵。例如，一个 16KB 的数据可能解压成 64MB 的数据，从而在短时间内消耗大量服务器内存。²

HTTP/3 与 QUIC 带来的新攻击面

HTTP/3 是 HTTP 协议的最新版本，它放弃了底层传输协议 TCP，转而使用基于 UDP 的 QUIC（Quick UDP Internet Connections）协议。QUIC 旨在提供更快的连接建立、多路复用、改进的拥塞控制和原生的加密功能。这些创新虽然带来了性能上的巨大飞跃，但也引入了与 UDP 相关的 DDoS 攻击风险。

1. QUIC 协议与 UDP 洪泛攻击

由于 QUIC 基于 UDP 运行，它更容易受到传统的 UDP 洪泛攻击。UDP 是一种无连接协议，不提供会话建立或流量控制机制，这使得攻击者可以更容易地伪造源 IP 地址并发送大量 UDP 数据包来淹没目标服务器。

QUIC 协议的特性使得它特别容易受到反射和放大攻击。在 QUIC 反射攻击中，攻击者可以伪造受害者的 IP 地址，向多个服务器发送 QUIC "hello"消息。由于 QUIC 在初始握手时需要包含 TLS 证书，服务器的首次回复会比攻击者的初始消息大得多。当这些放大后的回复流量涌向受害者时，就可能导致服务器过载⁴⁵。

2. 0-RTT 与重放攻击和资源耗尽

QUIC 引入了 0-RTT（Zero Round-Trip Time）连接建立机制，允许客户端在首次连接后，在后续连接中立即发送应用数据，而无需等待完整的握手过程。这大大减少了连接延迟，提升了用户体验。然而，0-RTT 也带来了潜在的重放攻击和资源耗尽风险。

在 0-RTT 模式下，客户端发送的初始数据可能被攻击者截获并重放。如果这些数据包含非幂等操作（即重复执行会产生不同结果的操作），攻击者就可以通过重放这些数据来触发服务器上的重复操作，从而导致资源耗尽或数据不一致。虽然 QUIC 协议包含 replay protection 机制，但这些保护措施并非完美无缺，仍然需要额外的考虑来降低重放风险。²

此外，QUIC 握手过程中的计算和内存需求也使得服务器更容易受到资源耗尽攻击。攻击者可以利用昂贵的握手操作来淹没服务器，例如通过创建大量独特的源连接 ID（SCID）和并发连接状态，导致服务器过载和状态溢出³。

协议滥用与应用层攻击

无论是 HTTP/2 还是 HTTP/3，协议的复杂性都为攻击者提供了滥用协议特性的机会，从而发动更高级别的应用层 DDoS 攻击。

1. HTTP/2 的流依赖与优先级滥用

HTTP/2 允许客户端为流设置优先级和依赖关系，以优化资源加载顺序。然而，攻击者可以滥用这些功能，通过操纵流的优先级和依赖关系，迫使服务器以低效的方式处理请求，从而消耗大量 CPU 和内存资源，最终导致拒绝服务⁵。例如，攻击者可以请求大量数据，然后通过操纵窗口大小和流优先级，迫使服务器以 1 字节块的形式排队数据，从而耗尽服务器资源⁵。

2. QUIC 的连接迁移与状态耗尽

QUIC 引入了连接迁移功能，允许客户端在网络变化时（例如从 Wi-Fi 切换到蜂窝网络）无缝地保持连接。这一功能通过使用连接 ID 来实现，即使 IP 地址和端口发生变化，连接也能保持。然而，攻击者可能会滥用此功能，通过频繁地触发连接迁移，迫使服务器维护大量的连接状态，从而导致状态耗尽攻击。

缓解策略

面对 HTTP/2 和 HTTP/3 带来的新 DDoS 攻击面，需要采取多层次的防御策略：

• 流量清洗和过滤： 部署专业的 DDoS 防护服务（如 Cloudflare、Akamai），利用其大规模的流量清洗能力，识别并过滤恶意流量。
• 协议栈强化： 及时更新服务器和网络设备的软件版本，修补已知的协议漏洞。例如，针对 HPACK Bomb 攻击，需要限制动态表的最大大小以及单个头部块的最大解压大小²。
• 行为分析和异常检测： 采用先进的行为分析技术，通过机器学习等方法识别异常的请求模式，例如"快速重置"攻击中大量的请求-取消操作。
• 资源限制： 对每个连接或每个客户端的并发流数量、请求速率和内存使用设置严格的限制，防止单个恶意连接耗尽服务器资源。
• 0-RTT 重放保护： 对于 0-RTT 连接，确保应用程序只执行幂等操作，或者实施有效的重放检测和缓解机制。例如，QUIC 协议中的 Retry 消息机制可以通过向客户端发送一个令牌来验证其 IP 地址，从而有效缓解握手洪泛攻击³。
• 加密流量可见性： 投资能够深入检查加密 QUIC 流量的工具，以便在不影响性能的情况下检测恶意活动。

结论

HTTP/2 和 HTTP/3 的出现无疑推动了互联网的发展，带来了更快的速度和更高的效率。然而，这些新协议的复杂性和新特性也为 DDoS 攻击者打开了新的大门。从 HTTP/2 的"快速重置"和"HPACK Bomb"到 HTTP/3 和 QUIC 的 UDP 洪泛、0-RTT 重放和资源耗尽攻击，防御者需要不断适应和创新防御策略。理解这些新协议带来的新攻击面，并采取全面的技术和运营措施，是确保互联网服务稳定性和安全性的关键。随着互联网协议的持续演进，安全社区与开发者之间的紧密合作将是应对未来DDoS挑战的基石。