我来简单说一下吧,其实有一种对付cdn的 Http2 To Http1.1 的放大攻击,这个对入口是http2.0,回源是http1.1有放大作用。 http2是帧,而且数据经过了二进制压缩,请求数据是很小的。每一个http2的帧经过回源都会变成一个http1.1的tcp连接。而http2只有一条tcp连接。如果帧够多,会产生大量的回源http1.1连接(tcp连接)。 当然不清楚是不是这个原因,我见过有人用过这个方法的。但是还是有防御的方法的。另外quic的多路复用还原的时候也有类似的问题,可以参考参考。 至于这次攻击是不是这个原因,我也不知道。建议找其他人问
操 酒神是NS站长吗?
我来简单说一下吧,其实有一种对付cdn的 Http2 To Http1.1 的放大攻击,这个对入口是http2.0,回源是http1.1有放大作用。
http2是帧,而且数据经过了二进制压缩,请求数据是很小的。每一个http2的帧经过回源都会变成一个http1.1的tcp连接。而http2只有一条tcp连接。如果帧够多,会产生大量的回源http1.1连接(tcp连接)。
当然不清楚是不是这个原因,我见过有人用过这个方法的。但是还是有防御的方法的。另外quic的多路复用还原的时候也有类似的问题,可以参考参考。
至于这次攻击是不是这个原因,我也不知道。建议找其他人问
@酒神 #0 你当时应该看下CF的WAF的工具选项里 是不是把IP都拉黑了
@unknowuser #32 我记得CF回原现在都走HTTP/2
@酒神 #0 曾经试过,应该是机房方面屏蔽了CF回源,重启后又解除了,我曾经的一台德基就是这种情况
@unknowuser #32
感谢回复,我研究一下
@kejilion #33
这个倒是没有,我猜测应该跟机房的防御有关