https://www.opennet.ru/openforum/vsluhforumID3/108772.html Исследователи безопасности из компании Imperva представили (http://investors.imperva.com/phoenix.zhtml?c=247116&p=irol-newsArticle&ID=2192322) на конференции Black Hat USA 2016 отчёт (http://www.imperva.com/defensecenter/hackerintelligencereports) с результатами анализа безопасности протокола HTTP/2. В процессе анализа были выявлены четыре концептуальные уязвимости, проявляющиеся в различных реализациях HTTP/2 и приводящие к отказу в обслуживании. <br><br><br>Интересно, что две проблемы не специфичны HTTP/2 и не обусловлены расширением функциональности протокола, а являются давно известными проблемами реализаций HTTP/1.x. По данным (https://w3techs.com/technologies/details/ce-http2/all/all) W3Techs протолок HTTP/2 уже используется на 9.1% сайтов, при том, что в декабре 2015 года этот показатель составлял (https://w3techs.com/technologies/history_overview/site_element/all) 2.3%, а месяц назад 8.4%.<br><br><br><br><br><br>Выявленные техники атак:<br><br><br><br>- Slow Read - метод аналогичен известной DDoS-атаке <br> Slowloris, при которой https://www.opennet.ru/openforum/vsluhforumID3/108772.html#25 Thu, 11 Aug 2016 16:15:10 GMT И это тоже. Как и systemd, http/2 создает больше проблем, чем решает.<br> https://www.opennet.ru/openforum/vsluhforumID3/108772.html#24 Wed, 10 Aug 2016 06:32:14 GMT &gt; "проще свою простую реализацию запилить" <br>&gt; вот из таких соображений и появился HTTP/2<br><br>&lt;/fix&gt;&lt;/грусть народа&gt;<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/108772.html#23 Wed, 10 Aug 2016 00:08:35 GMT "проще свою простую реализацию запилить"<br><br>вот из таких соображений и появился systemd<br> https://www.opennet.ru/openforum/vsluhforumID3/108772.html#22 Mon, 08 Aug 2016 13:19:52 GMT &gt; slow read имхо на уровне сетевого стека должно отрубаться. это общесистемная трабла <br><br>Знаешь, разбирать L7 из фаера, особено когда он шифрованный и сессионный ключ есть только у апликухи которая эти данные гоняет - не совсем перспективно. А без этого можно легитимные конекции порубать.<br> https://www.opennet.ru/openforum/vsluhforumID3/108772.html#21 Mon, 08 Aug 2016 09:24:53 GMT эх а кто-то по медленному каналу потихоньку видеоархив передавал :)<br> https://www.opennet.ru/openforum/vsluhforumID3/108772.html#20 Mon, 08 Aug 2016 00:14:13 GMT Ага, а еще для недоадминов должна сущестовать кнопка "правильно настроить сервер". Ты бы хоть глянул сколько в ядре параметров для контроля TCP, многие из которых так или иначе влияют на этот вектор атаки. <br> https://www.opennet.ru/openforum/vsluhforumID3/108772.html#19 Sun, 07 Aug 2016 20:58:26 GMT &gt; slow read имхо на уровне сетевого стека должно отрубаться. это общесистемная трабла <br><br>таймаут на весь этап hello-и-обмена-заголовками .. а уж внутри чего оно там произошло -- уже не важно. вот именно так должно было бы работать в идеале<br> https://www.opennet.ru/openforum/vsluhforumID3/108772.html#18 Sun, 07 Aug 2016 20:54:11 GMT идиот?<br><br>чем делать возню с stdin -- проще свою простую реализацию клиента запилить.. и на ней уже slow post и slow read<br> https://www.opennet.ru/openforum/vsluhforumID3/108772.html#17 Sun, 07 Aug 2016 19:33:09 GMT slow read имхо на уровне сетевого стека должно отрубаться. это общесистемная трабла<br>