Безопасность HTTP/2
Что такое Безопасность HTTP/2?
Безопасность HTTP/2Модель безопасности HTTP/2 (RFC 9113) поверх TLS 1.2+, а также эксплуатационные риски HPACK, мультиплексирования, CONTINUATION-кадров и атаки Rapid Reset 2023 года.
HTTP/2 определён в RFC 9113 (заменяет RFC 7540) и мультиплексирует множество одновременных запросов поверх одной TLS-сессии с использованием HPACK (RFC 7541) для сжатия заголовков и бинарного фрейминга. На практике весь браузерный HTTP/2-трафик идёт по TLS 1.2 или 1.3 при обязательных ограничениях шифр-наборов из раздела 9.2 RFC 9113. Реализации должны защищаться от известных атак: HPACK Bomb (амплификация памяти), CONTINUATION-флуд (CVE-2024-27316), HTTP request smuggling на границе H2-H1 и Rapid Reset (CVE-2023-44487, раскрыт в октябре 2023), когда злоумышленники открывали и тут же отменяли потоки RST_STREAM, доводя CPU сервера до пика DDoS. Защита включает квоты потоков и кадров, ограничение скорости RST_STREAM и обновление реализаций.
● Примеры
- 01
CVE-2023-44487 (Rapid Reset): открытие и отмена RST_STREAM HTTP/2-потоков давали пиковую DDoS-нагрузку до ~398 млн запросов в секунду.
- 02
CVE-2024-27316: nginx и другие исчерпывали память, принимая безлимитные последовательности HEADERS+CONTINUATION.
● Частые вопросы
Что такое Безопасность HTTP/2?
Модель безопасности HTTP/2 (RFC 9113) поверх TLS 1.2+, а также эксплуатационные риски HPACK, мультиплексирования, CONTINUATION-кадров и атаки Rapid Reset 2023 года. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Безопасность HTTP/2?
Модель безопасности HTTP/2 (RFC 9113) поверх TLS 1.2+, а также эксплуатационные риски HPACK, мультиплексирования, CONTINUATION-кадров и атаки Rapid Reset 2023 года.
Как работает Безопасность HTTP/2?
HTTP/2 определён в RFC 9113 (заменяет RFC 7540) и мультиплексирует множество одновременных запросов поверх одной TLS-сессии с использованием HPACK (RFC 7541) для сжатия заголовков и бинарного фрейминга. На практике весь браузерный HTTP/2-трафик идёт по TLS 1.2 или 1.3 при обязательных ограничениях шифр-наборов из раздела 9.2 RFC 9113. Реализации должны защищаться от известных атак: HPACK Bomb (амплификация памяти), CONTINUATION-флуд (CVE-2024-27316), HTTP request smuggling на границе H2-H1 и Rapid Reset (CVE-2023-44487, раскрыт в октябре 2023), когда злоумышленники открывали и тут же отменяли потоки RST_STREAM, доводя CPU сервера до пика DDoS. Защита включает квоты потоков и кадров, ограничение скорости RST_STREAM и обновление реализаций.
Как защититься от Безопасность HTTP/2?
Защита от Безопасность HTTP/2 обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Безопасность HTTP/2?
Распространённые альтернативные названия: RFC 9113, h2.
● Связанные термины
- network-security№ 499
HTTP/3 / QUIC
HTTP/3 (RFC 9114) — отображение HTTP на QUIC (RFC 9000), UDP-транспорт со встроенным TLS 1.3 и потоковым мультиплексированием без head-of-line блокировки.
- vulnerabilities№ 494
HTTP Request Smuggling
Атака, использующая расхождения между фронтенд-прокси и бэкендом в трактовке границы HTTP-запроса, позволяющая злоумышленнику тайно вставить второй запрос.
- network-security№ 1227
Межсетевой экран веб-приложений (WAF)
Фильтр в виде обратного прокси, который инспектирует HTTP/HTTPS-трафик, чтобы блокировать веб-атаки (SQL-инъекции, XSS, злоупотребление ботами) ещё до приложения.