4月8日，網(wǎng)絡安全專家Bartek Nowotarski指出，近期發(fā)現(xiàn)了HTTP/2協(xié)議中的一處高風險漏洞，惡意用戶可能利用該問題發(fā)動DoS攻擊。他在1月25日向卡內基梅隆大學計算機應急小組（簡稱CERT）提交了詳細報告，此漏洞名為“HTTP/2 CONTINUATION Flood”。

該漏洞圍繞著HTTP/2的配置缺陷展開，重點在于未能合理控制或者消除請求數(shù)據(jù)流中的CONTINUATION幀內容。這是一種延續(xù)報頭塊片段序列的技術，使得報頭塊能夠拆分到不同的幀中。當服務器接收到END_HEADERS標識符，表示不再有請求數(shù)據(jù)，之前分拆的報頭塊便被認為處理完畢。

若是HTTP/2的設計沒有限制定義單個數(shù)據(jù)流能發(fā)出的CONTINUATION幀數(shù)上限，那么存在遭到攻擊的可能性。攻擊者可以通過向尚未設好END_HEADERS標識的服務器發(fā)送HTTP請求，然后不停地發(fā)送CONTINUATION幀流，從而占據(jù)服務器的內存空間，直至引發(fā)崩潰，順利發(fā)起DoS攻擊。

HTTP/2又稱HTTP2.0，作為全球統(tǒng)一的超文本傳輸協(xié)議，主要應用于互聯(lián)網(wǎng)的網(wǎng)頁瀏覽中。它借鑒了SPDY協(xié)議的部分優(yōu)點，通過對HTTP頭部數(shù)據(jù)的壓縮以縮短傳輸時間、實施多通道復用技術以及推廣服務端推送功能，以降低網(wǎng)絡延遲，加速客戶端頁面載入速度。