HTTP / 2 协议存高危漏洞，可能引发拒绝服务攻击

4月8日，网络安全专家Bartek Nowotarski指出，近期发现了HTTP/2协议中的一处高风险漏洞，恶意用户可能利用该问题发动DoS攻击。他在1月25日向卡内基梅隆大学计算机应急小组（简称CERT）提交了详细报告，此漏洞名为“HTTP/2 CONTINUATION Flood”。

该漏洞围绕着HTTP/2的配置缺陷展开，重点在于未能合理控制或者消除请求数据流中的CONTINUATION帧内容。这是一种延续报头块片段序列的技术，使得报头块能够拆分到不同的帧中。当服务器接收到END_HEADERS标识符，表示不再有请求数据，之前分拆的报头块便被认为处理完毕。

若是HTTP/2的设计没有限制定义单个数据流能发出的CONTINUATION帧数上限，那么存在遭到攻击的可能性。攻击者可以通过向尚未设好END_HEADERS标识的服务器发送HTTP请求，然后不停地发送CONTINUATION帧流，从而占据服务器的内存空间，直至引发崩溃，顺利发起DoS攻击。

HTTP/2又称HTTP2.0，作为全球统一的超文本传输协议，主要应用于互联网的网页浏览中。它借鉴了SPDY协议的部分优点，通过对HTTP头部数据的压缩以缩短传输时间、实施多通道复用技术以及推广服务端推送功能，以降低网络延迟，加速客户端页面载入速度。