4月8日，網(wǎng)絡(luò)安全專家Bartek Nowotarski指出，近期發(fā)現(xiàn)了HTTP/2協(xié)議中的一處高風(fēng)險(xiǎn)漏洞，惡意用戶可能利用該問題發(fā)動(dòng)DoS攻擊。他在1月25日向卡內(nèi)基梅隆大學(xué)計(jì)算機(jī)應(yīng)急小組（簡稱CERT）提交了詳細(xì)報(bào)告，此漏洞名為“HTTP/2 CONTINUATION Flood”。

該漏洞圍繞著HTTP/2的配置缺陷展開，重點(diǎn)在于未能合理控制或者消除請求數(shù)據(jù)流中的CONTINUATION幀內(nèi)容。這是一種延續(xù)報(bào)頭塊片段序列的技術(shù)，使得報(bào)頭塊能夠拆分到不同的幀中。當(dāng)服務(wù)器接收到END_HEADERS標(biāo)識(shí)符，表示不再有請求數(shù)據(jù)，之前分拆的報(bào)頭塊便被認(rèn)為處理完畢。

若是HTTP/2的設(shè)計(jì)沒有限制定義單個(gè)數(shù)據(jù)流能發(fā)出的CONTINUATION幀數(shù)上限，那么存在遭到攻擊的可能性。攻擊者可以通過向尚未設(shè)好END_HEADERS標(biāo)識(shí)的服務(wù)器發(fā)送HTTP請求，然后不停地發(fā)送CONTINUATION幀流，從而占據(jù)服務(wù)器的內(nèi)存空間，直至引發(fā)崩潰，順利發(fā)起DoS攻擊。

HTTP/2又稱HTTP2.0，作為全球統(tǒng)一的超文本傳輸協(xié)議，主要應(yīng)用于互聯(lián)網(wǎng)的網(wǎng)頁瀏覽中。它借鑒了SPDY協(xié)議的部分優(yōu)點(diǎn)，通過對HTTP頭部數(shù)據(jù)的壓縮以縮短傳輸時(shí)間、實(shí)施多通道復(fù)用技術(shù)以及推廣服務(wù)端推送功能，以降低網(wǎng)絡(luò)延遲，加速客戶端頁面載入速度。