Google、亞馬遜（Amazon）、微軟（Microsoft）和Cloudflare 本週透露，它們在8 月和9 月針對其雲端基礎設施發動了大規模、創紀錄的分散式阻斷服務攻擊。DDoS 攻擊是一種典型的網路威脅，攻擊者試圖用垃圾流量淹沒服務，使其癱瘓，駭客一直在開發新的策略，使其規模更大或更有效。

不過，最近的攻擊尤其值得注意，因為駭客是利用一個基礎網路協定中的漏洞發動攻擊的。這意味著，雖然修補工作正在順利進行，但在完全杜絕這些攻擊之前，修補程式基本上需要覆蓋全球所有網路伺服器。該漏洞被稱為”HTTP/2 快速重置”，只能用於拒絕服務，攻擊者無法遠端接管伺服器或竊取資料。但是，攻擊並不一定要花哨才能造成大問題–從關鍵基礎設施到重要訊息，可用性對於存取任何數位服務都至關重要。

Google雲端的Emil Kiner 和Tim April 本週寫道：”DDoS 攻擊會對受害組織造成廣泛影響，包括業務損失和關鍵任務應用程式的不可用性。從DDoS 攻擊中恢復的時間可能遠遠超過攻擊結束的時間。”情況的另一個面向是漏洞的來源。Rapid Reset 並不存在於某個特定的軟體中，而是存在於用於載入網頁的HTTP/2 網路協定的規格中。HTTP/2 由互聯網工程任務小組（IETF）開發，已經存在了大約八年，是經典互聯網協定HTTP 更快、更有效率的繼承者。HTTP/2 在行動裝置上的運作效果更好，使用的頻寬更少，因此被廣泛採用。IETF 目前正在開發HTTP/3。Cloudflare的Lucas Pardue和Julien Desgats本週寫道：由於攻擊濫用了HTTP/2協定中的一個潛在弱點，我們認為任何實施了HTTP/2的供應商都會受到攻擊。雖然似乎有少數實施方案沒有受到Rapid Reset 的影響，但Pardue 和Desgats 強調說，這個問題與”每台現代網頁伺服器”廣泛相關。與由微軟修補的Windows漏洞或蘋果修補的Safari 漏洞不同，協議中的缺陷不可能由一個中央實體來修復，因為每個網站都以自己的方式實施標準。當主要的雲端服務和DDoS 防禦提供者為其服務建立修復程序時，就能在​​很大程度上保護使用其基礎設施的每個人。但運作自己網路伺服器的組織和個人需要製定自己的保護措施。長期從事開源軟體研究的軟體供應鏈安全公司ChainGuard 執行長 Dan Lorenc指出，這種情況是一個例子，說明開源的可用性和程式碼重用的普遍性（而不是總是從頭開始建造一切）是一個優勢，因為許多網路伺服器可能已經從其他地方複製了HTTP/2 實現，而不是重新發明輪子。如果這些項目得到維護，它們將開發出快速重置修復程序，並推廣給用戶。不過，這些補丁的全面採用還需要數年時間，仍會有一些服務從頭開始實施自己的HTTP/2，而其他任何地方都不會提供修補程式。Lorenc 說：”需要注意的是，大型科技公司發現這個問題時，它正在被積極利用。它可以用來癱瘓服務，例如操作技術或工業控制。這太可怕了。”雖然最近對Google、Cloudflare、微軟和亞馬遜的一連串DDoS 攻擊因規模巨大而引起了人們的警惕，但這些公司最終還是緩解了攻擊，沒有造成持久的損失。但是，駭客透過實施攻擊，揭示了協議漏洞的存在以及如何利用該漏洞–安全界稱之為”燒毀零日”的因果關係。儘管修補過程需要時間，而且一些網頁伺服器將長期處於易受攻擊的狀態，但與攻擊者沒有利用該漏洞亮出底牌相比，現在的互聯網更加安全了。Lorenc 說：「在標準中出現這樣的漏洞是不尋常的，它是一個新穎的漏洞，對於首先發現它的人來說是一個有價值的發現。他們本可以把它保存起來，甚至可能把它賣掉，賺一大筆錢。我一直很好奇為什麼有人決定’燒掉’這個漏洞。”