注意:此漏洞對普通用戶沒有任何影響,微軟網(wǎng)微軟發(fā)布的版本更新主要是用來幫助使用 Windows 10/11、Windows Server 上的發(fā)布封堵深圳美女上門預約(電話微信156-8194-*7106)提供頂級外圍女上門,可滿足你的一切要求 IIS 服務器的企業(yè)和開發(fā)者。
前文藍點網(wǎng)提到谷歌發(fā)布博客介紹 HTTP/2 快速重置 DDoS 攻擊,更新攻擊這種攻擊利用 HTTP/2 的快速特性可以極大的放大攻擊規(guī)模,例如谷歌攔截了一次每秒發(fā)送 3.98 億個請求的重置攻擊。
針對 HTTP/2 特性被利用這事兒,藍點谷歌申請了一個專門的微軟網(wǎng) CVE 編號,用來和業(yè)界一起討論和優(yōu)化 HTTP/2 機制,版本緩解這種攻擊。發(fā)布封堵
微軟今天則是更新攻擊深圳美女上門預約(電話微信156-8194-*7106)提供頂級外圍女上門,可滿足你的一切要求在安全更新里添加了新注冊表項,該項可以按照谷歌提供的快速建議發(fā)送 GOAWAY 來緩解攻擊,有需要的重置企業(yè)和開發(fā)者可以參考以下設置方案。
方案一:直接禁用 HTTP/2
根據(jù)企業(yè)和開發(fā)者的藍點需要,如果覺得 HTTP/2 快速重置攻擊可能造成危害,微軟網(wǎng)可以選擇直接禁用 HTTP/2 協(xié)議,這樣服務器將使用 HTTP/1.1,攻擊者仍可以發(fā)起攻擊,但就是傳統(tǒng)方法了。
注冊表路徑:HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
新建兩個注冊表鍵值:EnableHttp2TIs、EnableHttp2Cleartext (均為 DWORD)
兩個注冊表鍵值需要一起設置,若同時設置為 0 則禁用 HTTP/2 協(xié)議,若同時設置為 1 則啟用 HTTP/2 協(xié)議。
支持文檔:https://msrc.microsoft.com/update-guide/zh-cn/advisory/CVE-2023-44487
方案二:設置 TCP 連接每分鐘允許的最大重置次數(shù)
注冊表鍵值:Http2MaxClientResetsPerMinute 默認值 400,設置范圍 0~65535,一旦發(fā)送的 RST_STREAMS 幀達到設置的閾值后,后續(xù)發(fā)送的幀將回復 GOAWAY 進行丟棄。
注冊表鍵值:Http2MaxClientResetsGoaway 默認值 1,設置范圍 0 或 1,禁用或啟用在達到限制時發(fā)送 GOAWAY 消息,如果設置 0,則一旦達到閾值連接會被立即丟棄,不發(fā)送 GOAWAY。默認值 1 為發(fā)送 GOAWAY,可能會在被攻擊時增加服務器開銷。
說明文檔:https://support.microsoft.com/en-us/topic/october-10-2023-kb5031356-os-builds-19044-3570-and-19045-3570-951fac64-5bf8-4eba-ba18-a9448920df1a
以上注冊表鍵值均在 Windows 10/11、Windows Server、Windows LTS 所有受支持版本中可用,但前提是必須安裝今天的補丁,也就是補丁級別至少是 2023-10,否則可能無效。
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
