HTTP/2 Rapid Reset 공격 시뮬레이션 (WEB-42)
WEB-42 HTTP/2 Rapid Reset
HTTP/2 Rapid Reset 공격의 개념
HTTP/2에서는 단일 TCP 연결 위에서 여러 스트림을 동시에 처리할 수 있습니다.
RST_STREAM 프레임을 사용하면 스트림을 즉시 종료할 수 있는데,
공격자가 대량의 스트림을 열고 모두 리셋하면:
- ✗ 서버는 각 스트림 생성에 리소스를 사용
- ✗ 리셋 프레임 처리로 추가 CPU 사용
- ✗ 대량의 악의적 요청으로 정상 사용자 요청 처리 불가
- ✗ 연결 당 적은 대역폭으로도 DOS 가능
공격 시뮬레이션