ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > 2 เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ‚เบญเบ‡ DoS เป„เบ”เป‰เบ–เบทเบเบฅเบฐเบšเบธเปƒเบ™เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบ•เปˆเบฒเบ‡เป†เบ‚เบญเบ‡ HTTP/8 protocol

2 เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ‚เบญเบ‡ DoS เป„เบ”เป‰เบ–เบทเบเบฅเบฐเบšเบธเปƒเบ™เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบ•เปˆเบฒเบ‡เป†เบ‚เบญเบ‡ HTTP/8 protocol

เบ™เบฑเบเบ„เบปเป‰เบ™เบ„เบงเป‰เบฒเบˆเบฒเบ Netflix เปเบฅเบฐ Google เบเปเบฒเบ™เบปเบ” เบกเบตเปเบ›เบ”เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบ•เปˆเบฒเบ‡เป†เบ‚เบญเบ‡ HTTP/2 protocol เบ—เบตเปˆเบชเบฒเบกเบฒเบ”เป€เบฎเบฑเบ”เปƒเบซเป‰เป€เบเบตเบ”เบเบฒเบ™เบ›เบฐเบ•เบดเป€เบชเบ”เบเบฒเบ™เบšเปเบฅเบดเบเบฒเบ™เป‚เบ”เบเบเบฒเบ™เบชเบปเปˆเบ‡เบเบฐเปเบชเบเบฒเบ™เบฎเป‰เบญเบ‡เบ‚เปเป€เบ„เบทเบญเบ‚เปˆเบฒเบเปƒเบ™เบ—เบฒเบ‡เบ—เบตเปˆเปเบ™เปˆเบ™เบญเบ™. เบšเบฑเบ™เบซเบฒเบ”เบฑเปˆเบ‡เบเปˆเบฒเบงเบชเบปเปˆเบ‡เบœเบปเบ™เบเบฐเบ—เบปเบšเบ•เปเปˆเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบ HTTP เบชเปˆเบงเบ™เปƒเบซเบเปˆเบ—เบตเปˆเบกเบตเบเบฒเบ™เบชเบฐเบซเบ™เบฑเบšเบชเบฐเบซเบ™เบนเบ™ HTTP / 2 เปƒเบ™เบฅเบฐเบ”เบฑเบšเปƒเบ”เบซเบ™เบถเปˆเบ‡เปเบฅเบฐเบชเบปเปˆเบ‡เบœเบปเบ™เปƒเบซเป‰เบœเบนเป‰เป€เบฎเบฑเบ”เบงเบฝเบเบ‚เบฒเบ”เบ„เบงเบฒเบกเบˆเปเบฒเบซเบผเบทเบชเป‰เบฒเบ‡เบเบฒเบ™เป‚เบซเบผเบ” CPU เบซเบผเบฒเบเป€เบเบตเบ™เป„เบ›. เบเบฒเบ™เบญเบฑเบšเป€เบ”เบ”เบ—เบตเปˆเบเบณเบˆเบฑเบ”เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเป„เบ”เป‰เบ–เบทเบเบ™เบณเบชเบฐเป€เปœเบตเปเบฅเป‰เบง nginx 1.16.1/1.17.3 ะธ H2O 2.2.6, เปเบ•เปˆเบชเปเบฒเบฅเบฑเบšเปƒเบ™เบ›เบฑเบ”เบˆเบธเบšเบฑเบ™ เบšเปเปˆเบชเบฒเบกเบฒเบ”เปƒเบŠเป‰เป„เบ”เป‰ เบชเปเบฒเบฅเบฑเบš Apache httpd เปเบฅเบฐ เบœเบฐโ€‹เบฅเบดเบ”โ€‹เบ•เบฐโ€‹เบžเบฑเบ™โ€‹เบญเบทเปˆเบ™เป†โ€‹.

เบšเบฑเบ™เบซเบฒเบ—เบตเปˆเป€เบเบตเบ”เบˆเบฒเบเบญเบฒเบเบฒเบ™เปเบŠเบเบŠเป‰เบญเบ™เบ—เบตเปˆเบ™เปเบฒเบชเบฐเป€เบซเบ™เบตเป€เบ‚เบปเป‰เบฒเป„เบ›เปƒเบ™ HTTP / 2 เป‚เบ›เป‚เบ•เบ„เบญเบ™เบ—เบตเปˆเบเปˆเบฝเบงเบ‚เป‰เบญเบ‡เบเบฑเบšเบเบฒเบ™เบ™เปเบฒเปƒเบŠเป‰เป‚เบ„เบ‡เบชเป‰เบฒเบ‡เบ–เบฒเบ™เบชเบญเบ‡, เบฅเบฐเบšเบปเบšเบเบฒเบ™เบˆเปเบฒเบเบฑเบ”เบเบฒเบ™เป„เบซเบผเป€เบ‚เบปเป‰เบฒเบ‚เบญเบ‡เบ‚เปเป‰เบกเบนเบ™เบžเบฒเบเปƒเบ™เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆ, เบเบปเบ™เป„เบเบเบฒเบ™เบˆเบฑเบ”เบฅเปเบฒเบ”เบฑเบšเบ„เบงเบฒเบกเบชเปเบฒเบ„เบฑเบ™เบ‚เบญเบ‡เบเบฒเบ™เป„เบซเบผเป€เบ‚เบปเป‰เบฒ, เปเบฅเบฐเบเบฒเบ™เบ›เบฐเบเบปเบ”เบ•เบปเบงเบ‚เบญเบ‡เบ‚เปเป‰เบ„เบงเบฒเบกเบ„เบงเบšเบ„เบธเบกเบ—เบตเปˆเบ„เป‰เบฒเบเบ„เบทเบเบฑเบš ICMP เบ”เปเบฒเป€เบ™เบตเบ™เบเบฒเบ™เบขเบนเปˆเปƒเบ™เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆ HTTP / 2. เบฅเบฐเบ”เบฑเบš (เบ•เบปเบงเบขเปˆเบฒเบ‡, ping, reset, and flow settings). เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบˆเปเบฒเบ™เบงเบ™เบซเบผเบฒเบเบšเปเปˆเป„เบ”เป‰เบˆเปเบฒเบเบฑเบ”เบเบฒเบ™เป„เบซเบผเป€เบ‚เบปเป‰เบฒเบ‚เบญเบ‡เบ‚เปเป‰เบ„เบงเบฒเบกเบ„เบงเบšเบ„เบธเบกเบขเปˆเบฒเบ‡เบ–เบทเบเบ•เป‰เบญเบ‡, เบšเปเปˆเป„เบ”เป‰เบˆเบฑเบ”เบเบฒเบ™เบ„เบดเบงเบšเบนเบฅเบดเบกเบฐเบชเบดเบ”เบขเปˆเบฒเบ‡เบกเบตเบ›เบฐเบชเบดเบ”เบ—เบดเบžเบฒเบšเปƒเบ™เป€เบงเบฅเบฒเบ—เบตเปˆเบเบฒเบ™เบฎเป‰เบญเบ‡เบ‚เปเบเบฒเบ™เบ›เบธเบ‡เปเบ•เปˆเบ‡, เบซเบผเบทเบ™เปเบฒเปƒเบŠเป‰เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบ—เบตเปˆเบ”เบตเบ—เบตเปˆเบชเบธเบ”เบ‚เบญเบ‡เบ‚เบฑเป‰เบ™เบ•เบญเบ™เบเบฒเบ™เบ„เบงเบšเบ„เบธเบกเบเบฒเบ™เป„เบซเบผ.

เบชเปˆเบงเบ™เปƒเบซเบเปˆเบ‚เบญเบ‡เบงเบดเบ—เบตเบเบฒเบ™เป‚เบˆเบกเบ•เบตเบ—เบตเปˆเบ–เบทเบเบเปเบฒเบ™เบปเบ”เปเบกเปˆเบ™เบฅเบปเบ‡เบกเบฒเป€เบžเบทเปˆเบญเบชเบปเปˆเบ‡เบ„เปเบฒเบฎเป‰เบญเบ‡เบ‚เปเบชเบฐเป€เบžเบฒเบฐเปƒเบ”เบซเบ™เบถเปˆเบ‡เป„เบ›เบซเบฒเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบ, เบ™เปเบฒเป„เบ›เบชเบนเปˆเบเบฒเบ™เบœเบฐเบฅเบดเบ”เบเบฒเบ™เบ•เบญเบšเบชเบฐเบซเบ™เบญเบ‡เบˆเปเบฒเบ™เบงเบ™เบซเบฅเบฒเบ. เบ–เป‰เบฒเบฅเบนเบเบ„เป‰เบฒเบšเปเปˆเป„เบ”เป‰เบญเปˆเบฒเบ™เบ‚เปเป‰เบกเบนเบ™เบˆเบฒเบเบŠเบฑเบญเบเป€เบเบฑเบ”เปเบฅเบฐเบšเปเปˆเป„เบ”เป‰เบ›เบดเบ”เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆ, เบ„เบดเบง buffering เบ•เบญเบšเบชเบฐเบซเบ™เบญเบ‡เบขเบนเปˆเบ‚เป‰เบฒเบ‡เป€เบŠเบตเบŸเป€เบงเบตเบขเปˆเบฒเบ‡เบ•เปเปˆเป€เบ™เบทเปˆเบญเบ‡. เบžเบถเบ”เบ•เบดเบเปเบฒเบ™เบตเป‰เบชเป‰เบฒเบ‡เบเบฒเบ™เป‚เบซเบผเบ”เปƒเบ™เบฅเบฐเบšเบปเบšเบเบฒเบ™เบˆเบฑเบ”เบเบฒเบ™เปเบ–เบงเบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบ›เบฐเบกเบงเบ™เบœเบปเบ™เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเป€เบ„เบทเบญเบ‚เปˆเบฒเบเปเบฅเบฐ, เบญเบตเบ‡เบ•เบฒเบกเบฅเบฑเบเบชเบฐเบ™เบฐเบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”, เบ™เปเบฒเป„เบ›เบชเบนเปˆเบเบฒเบ™เบซเบกเบปเบ”เป„เบ›เบ‚เบญเบ‡เบซเบ™เปˆเบงเบเบ„เบงเบฒเบกเบˆเปเบฒเบซเบผเบทเบŠเบฑเบšเบžเบฐเบเบฒเบเบญเบ™ CPU.

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ—เบตเปˆเบฅเบฐเบšเบธเป„เบงเป‰:

  • CVE-2019-9511 (Data Dribble) - เบœเบนเป‰เป‚เบˆเบกเบ•เบตเบฎเป‰เบญเบ‡เบ‚เปเบ‚เปเป‰เบกเบนเบ™เบˆเปเบฒเบ™เบงเบ™เบซเบผเบงเบ‡เบซเบผเบฒเบเป€เบ‚เบปเป‰เบฒเป„เบ›เปƒเบ™เบซเบผเบฒเบเบซเบปเบงเบ‚เปเป‰เป‚เบ”เบเบเบฒเบ™เบˆเบฑเบ”เบเบฒเบ™เบ‚เบฐเบซเบ™เบฒเบ”เบ‚เบญเบ‡เบ›เปˆเบญเบ‡เบขเป‰เบฝเบกเป€เบฅเบทเปˆเบญเบ™เปเบฅเบฐเบซเบปเบงเบ‚เปเป‰เบšเบนเบฅเบดเบกเบฐเบชเบดเบ”, เบšเบฑเบ‡เบ„เบฑเบšเปƒเบซเป‰เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเบˆเบฑเบ”เปเบ–เบงเบ‚เปเป‰เบกเบนเบ™เปƒเบ™ 1-byte blocks;
  • CVE-2019-9512 (Ping Flood) - เบœเบนเป‰เป‚เบˆเบกเบ•เบตเบงเบฒเบ‡เบžเบดเบ”เบ‚เปเป‰เบ„เบงเบฒเบก ping เบขเปˆเบฒเบ‡เบ•เปเปˆเป€เบ™เบทเปˆเบญเบ‡เบœเปˆเบฒเบ™เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆ HTTP/2, เป€เบŠเบดเปˆเบ‡เป€เบฎเบฑเบ”เปƒเบซเป‰เปเบ–เบงเบžเบฒเบเปƒเบ™เบ‚เบญเบ‡เบเบฒเบ™เบ•เบญเบšเบเบฑเบšเบ—เบตเปˆเบ–เบทเบเบชเบปเปˆเบ‡เป„เบ›เบ–เป‰เบงเบกเบญเบตเบเบ”เป‰เบฒเบ™เปœเบถเปˆเบ‡;
  • CVE-2019-9513 (Resource Loop) - เบœเบนเป‰เป‚เบˆเบกเบ•เบตเบชเป‰เบฒเบ‡เบซเบปเบงเบ‚เปเป‰เบเบฒเบ™เบฎเป‰เบญเบ‡เบ‚เปเบซเบผเบฒเบเบญเบฑเบ™ เปเบฅเบฐเบชเบทเบšเบ•เปเปˆเบ›เปˆเบฝเบ™เบšเบนเบฅเบดเบกเบฐเบชเบดเบ”เบ‚เบญเบ‡เบเบฐเบ—เบนเป‰, เป€เบฎเบฑเบ”เปƒเบซเป‰เบ•เบปเป‰เบ™เป„เบกเป‰เบšเบนเบฅเบดเบกเบฐเบชเบดเบ”เบ•เป‰เบญเบ‡เบชเบฐเบซเบผเบฑเบš;
  • CVE-2019-9514 (Reset Flood) - เบœเบนเป‰เป‚เบˆเบกเบ•เบตเบชเป‰เบฒเบ‡เบซเบผเบฒเบเบซเบปเบงเบ‚เปเป‰
    เปเบฅเบฐเบชเบปเปˆเบ‡เบ„เปเบฒเบฎเป‰เบญเบ‡เบ‚เปเบ—เบตเปˆเบšเปเปˆเบ–เบทเบเบ•เป‰เบญเบ‡เบœเปˆเบฒเบ™เปเบ•เปˆเบฅเบฐเบเบฐเบ—เบนเป‰, เป€เบฎเบฑเบ”เปƒเบซเป‰เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเบชเบปเปˆเบ‡ RST_STREAM เป€เบŸเบฃเบก, เปเบ•เปˆเบšเปเปˆเบเบญเบกเบฎเบฑเบšเปƒเบซเป‰เป€เบ‚เบปเบฒเป€เบˆเบปเป‰เบฒเบ•เบทเปˆเบกเปเบ–เบงเบเบฒเบ™เบ•เบญเบšเบชเบฐเบซเบ™เบญเบ‡;

  • CVE-2019-9515 (Settings Flood) - เบœเบนเป‰เป‚เบˆเบกเบ•เบตเบชเบปเปˆเบ‡เบเบฐเปเบชเบ‚เบญเบ‡เป€เบŸเบฃเบก โ€œSETTINGSโ€ เบซเบงเปˆเบฒเบ‡เป€เบ›เบปเปˆเบฒ, เป€เบžเบทเปˆเบญเบ•เบญเบšเบชเบฐเปœเบญเบ‡เปƒเบซเป‰เป€เบŠเบตเบšเป€เบงเบตเบ•เป‰เบญเบ‡เบฎเบฑเบšเบฎเบนเป‰เบเบฒเบ™เบฎเบฑเบšเปเบ•เปˆเบฅเบฐเบ„เบณเบฎเป‰เบญเบ‡เบ‚เป;
  • CVE-2019-9516 (0-Length Headers Leak) โ€“ เบœเบนเป‰เป‚เบˆเบกเบ•เบตเบชเบปเปˆเบ‡เบเบฐเปเบชเบ‚เบญเบ‡เบชเปˆเบงเบ™เบซเบปเบงเบ—เบตเปˆเบกเบตเบŠเบทเปˆ null เปเบฅเบฐเบ„เปˆเบฒ null, เปเบฅเบฐเป€เบŠเบตเบšเป€เบงเบตเบˆเบฑเบ”เบชเบฑเบ™ buffer เปƒเบ™เบซเบ™เปˆเบงเบเบ„เบงเบฒเบกเบˆเปเบฒเป€เบžเบทเปˆเบญเป€เบเบฑเบšเปเบ•เปˆเบฅเบฐ header เปเบฅเบฐเบšเปเปˆเบ›เปˆเบญเบเบกเบฑเบ™เบˆเบปเบ™เบเปˆเบงเบฒ session เบชเบดเป‰เบ™เบชเบธเบ”เบฅเบปเบ‡. ;
  • CVE-2019-9517 (Internal Data Buffering) - เบœเบนเป‰เป‚เบˆเบกเบ•เบตเป€เบ›เบตเบ”
    เบ›เปˆเบญเบ‡เบขเป‰เบฝเบกเป€เบฅเบทเปˆเบญเบ™ HTTP/2 เบชเปเบฒเบฅเบฑเบšเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเบ—เบตเปˆเบˆเบฐเบชเบปเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™เป‚เบ”เบเบšเปเปˆเบกเบตเบ‚เปเป‰เบˆเปเบฒเบเบฑเบ”, เปเบ•เปˆเบ›เบดเบ”เบซเบ™เป‰เบฒเบ•เปˆเบฒเบ‡ TCP, เบ›เป‰เบญเบ‡เบเบฑเบ™เบšเปเปˆเปƒเบซเป‰เบ‚เปเป‰เบกเบนเบ™เบ–เบทเบเบ‚เบฝเบ™เปƒเบชเปˆเป€เบ•เบปเป‰เบฒเบฎเบฑเบš. เบ•เปเปˆเป„เบ›, เบœเบนเป‰เป‚เบˆเบกเบ•เบตเบชเบปเปˆเบ‡เบ„เปเบฒเบฎเป‰เบญเบ‡เบ‚เปเบเบฒเบ™เบ•เบญเบšเบชเบฐเบซเบ™เบญเบ‡เบ‚เบฐเบซเบ™เบฒเบ”เปƒเบซเบเปˆ;

  • CVE-2019-9518 (Empty Frames Flood) - เบœเบนเป‰เป‚เบˆเบกเบ•เบตเบชเบปเปˆเบ‡เบเบฐเปเบชเบ‚เบญเบ‡เป€เบŸเบฃเบกเบ›เบฐเป€เบžเบ” DATA, HEADERS, CONTINUATION, เบซเบผเบท PUSH_PROMISE, เปเบ•เปˆเบกเบต payload เบซเบงเปˆเบฒเบ‡เป€เบ›เบปเปˆเบฒ เปเบฅเบฐเบšเปเปˆเบกเบตเบ—เบธเบ‡เบขเบธเบ”เบเบฒเบ™เป„เบซเบผ. เป€เบŠเบตเบšเป€เบงเบตเปƒเบŠเป‰เป€เบงเบฅเบฒเบ›เบฐเบกเบงเบ™เบœเบปเบ™เปเบ•เปˆเบฅเบฐเบเบญเบš, เบšเปเปˆเบชเบปเบกเบชเปˆเบงเบ™เบเบฑเบšเปเบšเบ™เบงเบดเบ”เบ—เบตเปˆเบœเบนเป‰เป‚เบˆเบกเบ•เบตเบšเปเบฅเบดเป‚เบžเบ.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™