Naked Security에 따르면, Microsoft는 HTTP/2 옵션 중에 DDoS 공격을 유발할 수 있는 버그를 조치했다고 합니다.
HTTP standard의 개선 버젼인 HTTP/2에는 Client가 Server에게 데이터 전송과 관련한 Flow Control을 요청할 수 있는 옵션이 있는데 이 부분이 DDoS 공격을 유발하게 된다고 합니다.
To manage flow control, HTTP/2 uses a feature known as a SETTINGS frame
.
Clients can specify any number of SETTINGS frames, and this is the root of the problem that Microsoft found in IIS ? too many frames can overload the server, maxing out CPU usage at 100%.
출처 : https://nakedsecurity.sophos.com/2019/02/22/microsoft-fixes-ddos-bug-in-its-web-server/
첨부파일
첨부파일 없음