HTTP/2協議漏洞重現 MadeYouReset恐引發巨型DDoS攻擊
回到上一頁

HTTP/2協議漏洞重現 MadeYouReset恐引發巨型DDoS攻擊

2025-08-19
網路安全領域再度掀起波瀾。以色列特拉維夫大學的研究人員揭露了一項嚴重的分散式阻斷服務(DDoS)漏洞,該漏洞藏匿於HTTP/2協議中,被命名為「MadeYouReset」。這項漏洞被視為自2023年「Rapid Reset」攻擊以來,網路世界面臨的最大DDoS風險,可能影響全球三分之一的網站。根據研究報告,這項漏洞不僅繞過了先前修補措施,還可能讓攻擊者發動史無前例的巨型網路攻擊,嚴重威脅企業、機構與一般用戶的線上服務穩定性。
 
回溯2023年8月,一場前所未有的DDoS攻擊震撼全球網路基礎設施。當時,未知的威脅行為者利用HTTP/2協議的根本缺陷,發動了當時史上最大的攻擊,流量規模遠超以往紀錄。這項技術被稱為「Rapid Reset」,其核心在於攻擊者不斷發送請求後立即取消,導致伺服器持續處理無效請求,耗盡資源。該漏洞被追蹤為CVE-2023-44487,在常見漏洞評分系統(CVSS)中評為7.5的高危等級。隨後,業界在秋季迅速推出修補方案,主要透過限制客戶端取消請求的次數來化解危機,讓網路世界暫時鬆了一口氣。
 
然而,好景不常。特拉維夫大學的研究團隊發現,「Rapid Reset」的修補並非萬無一失。他們開發出的「MadeYouReset」技術巧妙繞過了這道防線,再度暴露HTTP/2協議的弱點。HTTP/2作為HTTP/1.1的升級版,其最大優勢在於支援並行請求-回應循環,讓網站能夠同時處理多個資料流,提高效率。但為了防止濫用,協議中設有並行資料流上限,預設最多100個。攻擊者若無限開啟資料流,即可輕易癱瘓伺服器。
 
「Rapid Reset」的手法是透過客戶端主動取消請求來騙過上限,讓伺服器繼續處理已取消的請求。但「MadeYouReset」的創新之處在於,取消請求不一定由客戶端發起。HTTP/2協議中,除了攜帶一般網頁內容的「框架」(frames),還有「控制框架」(control frames),用來指導資料流的行為。攻擊者先發送一個有效請求,接著跟進一個無效的控制訊息,伺服器便會自動取消該資料流。這過程可重複進行,模擬「Rapid Reset」的效果,導致伺服器資源耗盡,無法回應正常用戶請求。
 
這項漏洞正式追蹤為CVE-2025-8671,同樣評為CVSS 7.5的高危等級。但在不同HTTP/2實作中,其嚴重性有所差異。例如,在Netty應用框架中,它被評為8.2的高危(CVE-2025-55163),而在F5 Networks的BIG-IP應用交付控制器中,則僅為6.9的中等嚴重性(CVE-2025-54500)。這種差異反映了不同廠商實作的彈性,也增加了修補的複雜度。
 
研究團隊在揭露前,已與超過100家廠商協調負責任披露。有些廠商早在「Rapid Reset」事件後,就強化了資料流與資源管理,因此原本就對「MadeYouReset」免疫。Cloudflare表示,目前大多數HTTP/2實作屬於此類,已具備足夠防護。但仍有不少系統需近期修補,包括Netty、F5 BIG-IP、Apache Tomcat、h2o與Jetty等熱門框架。
 
特拉維夫大學首席策略官Yaniv Harel在接受訪問時指出,修補過程並非一帆風順。有些廠商迅速承認問題並承諾立即修復,但也有些廠商認為這不是他們的責任,導致爭議。他解釋道:「這幾乎成了一個哲學問題,因為漏洞可在HTTP/2庫層或伺服器層解決,而有些伺服器使用外部庫,責任歸屬不明。」Harel強調,雖然無法保證所有廠商100%修補,但主要玩家已採取行動,確保核心基礎設施安全。
 
修補「MadeYouReset」有多种方式。一種是確保資料流重置時,後端工作立即停止,但這從技術上難以實現,且可能引入新安全風險。另一種是伺服器自行設定HTTP請求上限,彌補協議缺陷。或在HTTP/2庫層新增伺服器主動取消的限制,類似客戶端取消的機制。這些選項讓廠商有彈性,但也凸顯了HTTP/2協議設計的潛在問題。
 
全球影響範圍難以精確估計,但研究估計高達三分之一的網站受波及。這包括電商平台、金融服務、政府網站與社交媒體。台灣作為亞太網路樞紐,許多企業依賴HTTP/2加速網站效能,一旦漏洞被利用,可能導致大規模服務中斷。回想2023年「Rapid Reset」攻擊,Google、Cloudflare等巨頭曾記錄每秒超過3億次請求的攻擊流量,遠超正常負荷。若「MadeYouReset」被惡意利用,攻擊規模恐更驚人。
 
台灣國家通訊傳播委員會(NCC)與資安專家呼籲,企業應立即檢查HTTP/2實作版本,並應用最新修補。台灣資安公司如趨勢科技(Trend Micro)也表示,將監控相關威脅,並提供檢測工具。Harel建議:「預防勝於治療,廠商應強化資源管理,避免依賴單一協議防護。」
 
此外,這事件凸顯網路協議演進的挑戰。HTTP/2雖提升效率,但安全漏洞層出不窮。未來,業界可能轉向HTTP/3(QUIC協議),以更強韌的加密與流量控制抵禦DDoS。但轉移需時,短期內「MadeYouReset」仍構成重大風險。
 
 
總之,這項漏洞提醒全球網路社群,安全永無止境。台灣作為數位經濟強國,應加強國際合作,共同防範此類威脅。研究團隊的發現雖帶來警訊,但也推動業界進步,確保網路世界更安全可靠。