摘要：这次攻击被称为MadeYouReset，类似于Rapid Reset，后者在 2023 年被利用进行0day攻击，打破了每秒请求数 (RPS) 的 DDoS 记录。

研究人员发现另一种可用于发动大规模分布式拒绝服务 (DDoS) 攻击的新方法。

这次攻击被称为MadeYouReset，类似于Rapid Reset，后者在 2023 年被利用进行0day攻击，打破了每秒请求数 (RPS) 的 DDoS 记录。

MadeYouReset 漏洞是由安全公司 Imperva 和以色列特拉维夫大学的研究人员发现的，它利用了 HTTP2 实现中的一个设计缺陷。

卡内基梅隆大学CERT/CC 在一份咨询报告中解释道：“HTTP/2 引入了流取消功能，即客户端和服务器均可随时立即关闭流。然而，在流取消后，许多实现仍会继续处理请求，计算响应，但不会将其发送回客户端。” “这会导致 HTTP/2 视角下的活跃流数量与后端服务器正在处理的实际活跃 HTTP 请求数量不匹配。”

CERT/CC 补充道：“通过打开流，然后使用畸形帧或流量控制错误快速触发服务器重置流，攻击者可以利用 HTTP/2 流计数与服务器活动 HTTP 请求之间产生的差异。即使后端处理仍在继续，服务器重置的流仍被视为已关闭。这允许客户端使服务器在单个连接上处理无限数量的并发 HTTP/2 请求。”

快速重置攻击图

MadeYouReset攻击图

攻击者可以不断向目标服务器发送重置请求，从而导致极具破坏性的 DDoS 攻击。

然而，与 Rapid Reset 的情况不同，MadeYouReset 方法似乎尚未被野外利用。

该漏洞编号为 CVE-2025-8671，已发现会影响 AMPHP、Apache Tomcat、Eclipse 基金会、F5、Fastly、gRPC、Mozilla、Netty、Suse Linux、Varnish Software、Wind River 和 Zephyr Project 等项目。

Apache Tomcat 开发人员、F5、Fastly 和 Varnish 已发布补丁。其他开发人员仍在调查该漏洞的影响范围和严重程度。Mozilla 正在为受影响的服务和网站开发补丁，但指出 Firefox 等软件并未受到影响。

该漏洞的编号为 CVE-2025-8671，但一些受影响的供应商已分配了自己的 CVE 标识符。

Imperva指出，MadeYouReset 与正常流量混合，使其更难检测。该公司指出，该攻击可能会绕过许多现有的防御措施，但有几种缓解措施和其他解决方案可以阻止攻击。

详细技术分析：

来源：会杀毒的单反狗