HTTP/2协议曝"MadeYouReset"漏洞，可用于发动大规模DDoS攻击

Part01

漏洞概况

安全研究人员在HTTP/2协议实现中发现了一个新型拒绝服务（DoS）漏洞，命名为"MadeYouReset"（CVE-2025-8671）。该漏洞于2025年8月13日公开披露，标志着网络协议相关威胁的显著升级。攻击者可利用此漏洞绕过内置并发限制，通过无限制的并发请求使服务器不堪重负，最终导致系统因资源耗尽而崩溃。

该漏洞直接基于2023年发现的Rapid Reset漏洞（CVE-2023-44487）构建，后者利用了HTTP/2的流取消机制。在Rapid Reset攻击中，攻击者发送请求后立即使用客户端发起的RST_STREAM帧取消请求，迫使服务器处理响应而不计入MAX_CONCURRENT_STREAMS限制（通常设置为100）。

Part02

攻击原理

针对Rapid Reset的缓解措施主要聚焦于限制客户端发送的RST_STREAM帧，将每个连接的取消次数控制在100次左右。然而，MadeYouReset巧妙地绕过这一限制，通过诱使服务器自身发出RST_STREAM帧来实现攻击。

HTTP/2协议通过流（stream）传输请求和响应帧，使用SETTINGS、WINDOW_UPDATE和RST_STREAM等控制帧管理行为。MAX_CONCURRENT_STREAMS参数旨在通过限制活动流数量来防止过载。

在MadeYouReset攻击中，攻击者首先发送有效请求让服务器开始处理，然后通过无效控制帧或序列违规触发协议错误。这导致服务器发送RST_STREAM帧处理错误，在HTTP/2层面关闭流，但后端计算仍在继续。研究人员发现了六种符合RFC标准的原语可诱导这些服务器重置，适用于任何符合标准的实现。

Part03

影响范围与缓解措施

该漏洞可实现低成本、高影响力的DDoS攻击。攻击者仅需少量资源（发送帧的带宽），而服务器却要为这些"幽灵请求"消耗CPU、内存和I/O资源。测试显示大多数受影响系统会遭受完全DoS攻击，部分系统会因内存不足而崩溃。

受影响项目包括Netty（CVE-2025-55163）、Apache Tomcat（CVE-2025-48989）、F5 BIG-IP（CVE-2025-54500）、H2O和Swift-NIO-HTTP2等。超过100家厂商通过CERT/CC协调披露了相关信息。

厂商建议立即安装补丁：更新至修复版本，并对服务器重置实施速率限制。对于无法立即修补的系统，可降低MAX_CONCURRENT_STREAMS值或监控异常的RST_STREAM模式。

该漏洞凸显了HTTP/2协议中持续存在的资源不对称问题——发送请求成本低廉而处理请求代价高昂。随着网络流量日益依赖HTTP/2，持续优化协议以应对不断演变的威胁至关重要。

参考来源：

New HTTP/2 MadeYouReset Vulnerability Enables Large-Scale DDoS Attacks

https://cybersecuritynews.com/http-2-madeyoureset-vulnerability/

上一篇新型钓鱼攻击利用日语字符"ん"伪装斜杠实施欺诈

下一篇零信任+AI：智能体时代的数据隐私新范式

文章分类：技术文章

分享到：

信天辰微信公众号

咨询合作电话：0531-88762231

地址：山东省济南市历下区舜泰广场8号楼西座9层