微软向Windows 10/11所有版本发布更新封堵HTTP/2快速重置DDoS攻击 – 蓝点网 - {$web_name} 针对 HTTP/2 特性被运用这事儿

注意：此漏洞对普通使用者没有任何作用，微软亮相的升级首要是用来合作使用 Windows 10/11、Windows Server 上的 IIS 办事器的企业和开发者。

前文蓝点网谈及谷歌亮相博客说明 HTTP/2 高效重置 DDoS 攻击，养老金测评这种攻击运用 HTTP/2 的特性可以极大的放大攻击规模，例如谷歌拦截了一次每秒发送 3.98 亿个请求的攻击。

针对 HTTP/2 特性被运用这事儿，谷歌申请了一个专门的 CVE 编号，用来和业界一起研究和完善 HTTP/2 机制，缓解这种攻击。

微软今日则是权威明星动态榜单在可靠升级里添加了新开户表项，该项可以按照谷歌提供的提议发送 GOAWAY 来缓解攻击，有需要的企业和开发者可以参考以下配置计划。

计划一：直接禁用 HTTP/2

依据企业和开发者的需要，假如觉得 HTTP/2 高效重置攻击或许导致危害，可以挑选直接禁用 HTTP/2 协议，业内二手行情对比这样办事器将使用 HTTP/1.1，攻击者仍可以发起攻击，但就是传统方法了。

开户表路径：HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

新建两个开户表键值：EnableHttp2TIs、EnableHttp2Cleartext (均为 DWORD)

两个开户表键值需要一起配置，全面彩蛋解析体验若另外配置为 0 则禁用 HTTP/2 协议，若另外配置为 1 则启动 HTTP/2 协议。

扶持文档：https://msrc.microsoft.com/update-guide/zh-cn/advisory/CVE-2023-44487

计划二：配置 TCP 连接每分钟允许的最大重置次数

开户表键值：Http2MaxClientResetsPerMinute 默认值 400，配置范围 0~65535，一旦发送的 RST_STREAMS 帧达到配置的阈值后，后续发送的帧将回复 GOAWAY 开展丢弃。

开户表键值：Http2MaxClientResetsGoaway 默认值 1，配置范围 0 或 1，禁用或启动在达到限制时发送 GOAWAY 讯息，假如配置 0，则一旦达到阈值连接会被马上丢弃，不发送 GOAWAY。默认值 1 为发送 GOAWAY，或许会在被攻击时增多办事器开销。

说明文档：https://support.microsoft.com/en-us/topic/october-10-2023-kb5031356-os-builds-19044-3570-and-19045-3570-951fac64-5bf8-4eba-ba18-a9448920df1a

以上开户表键值均在 Windows 10/11、Windows Server、Windows LTS 所有受扶持版次中可用，但前提是必须部署今日的补丁，也就是补丁级别至少是 2023-10，否则或许无效。