DoS-атака HTTP/2 Bomb за считаные секунды выводит из строя веб-серверы - «Новости» » Интернет технологии
sitename
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Заработок » DoS-атака HTTP/2 Bomb за считаные секунды выводит из строя веб-серверы - «Новости»

✔DoS-атака HTTP/2 Bomb за считаные секунды выводит из строя веб-серверы - «Новости»

08 июня 2026 0 Заработок / Новости / Изображения / Таблицы / Самоучитель CSS / Вёрстка / Преимущества стилей / Отступы и поля 0

Специалисты из компании Calif представили новую DoS-атаку под названием HTTP/2 Bomb, которая затрагивает популярные веб-серверы и прокси, включая nginx, Apache HTTP Server, Microsoft IIS, Envoy и Cloudflare Pingora. Атака сочетает сразу два давно известных подхода и позволяет одной машине быстро исчерпать десятки гигабайт памяти на сервере.


По словам исследователей, проблема присутствует в стандартной конфигурации HTTP/2 и не связана с какой-либо конкретной реализацией протокола. Стоит отметить, что проблему обнаружили с помощью OpenAI Codex, который помог объединить две уже известные техники атак.


В основе HTTP/2 Bomb лежит комбинация HPACK-компрессии и техники Slowloris. Первая часть отвечает за резкое увеличение потребления памяти, а вторая не позволяет серверу освободить эту память.


Атака злоупотребляет механизмом HPACK — алгоритмом сжатия заголовков HTTP/2. Злоумышленник добавляет запись в динамическую таблицу HPACK, а затем многократно ссылается на нее с помощью индексной записи размером всего один байт. В итоге один байт входящего трафика может вынудить сервер выделять тысячи байт памяти.


Хуже всего в тестах исследователей показали себя Envoy и Apache HTTP Server, где коэффициент амплификации достигал примерно 5700:1 и 4000:1 соответственно.


Однако ключевой особенностью атаки HTTP/2 Bomb является не сама компрессия. Специалисты поясняют, что сервер обычно освобождает выделенную память после завершения запроса. Чтобы этого не произошло, атакующий устанавливает нулевой размер окна управления потоком (flow-control window). Из-за этого запрос не завершается полностью, а занятая память остается закрепленной за соединением.


По словам авторов исследования, именно сочетание двух механизмов делает атаку настолько опасной. Ограничения на размер декодированных заголовков не помогают защититься от HTTP/2 Bomb, поскольку сами заголовки остаются маленькими. Основная нагрузка приходится на внутренние структуры, которые сервер создает для обработки каждой записи.


Практические тесты показали, что даже обычный домашний ПК с каналом 100 Мбит/с способен вывести уязвимый сервер из строя за считанные секунды. Например, в случае Apache HTTP Server и Envoy один клиент может занять и удерживать около 32 Гбайт памяти примерно за 20 секунд.


Во время тестирования исследователи получили следующие результаты:



  • Envoy 1.37.2 исчерпал 32 Гбайт памяти примерно за 10 секунд;

  • Apache httpd 2.4.67 — за 18 секунд;

  • nginx 1.29.7 — примерно за 45 секунд;

  • Microsoft IIS на Windows Server 2025 занял 64 Гбайт памяти примерно за 45 секунд.





Полные технические подробности HTTP/2 Bomb эксперты обещают раскрыть позже в этом месяце на конференции Real World AI Security. При этом PoC-код уже опубликован.


Отмечается, что в nginx проблема устранена в версии 1.29.8, где появился новый параметр max_headers. Исправление для Apache HTTPD вошло в mod_http2 2.0.41, и проблема получила идентификатор CVE-2026-49975.


Для Microsoft IIS, Envoy и Cloudflare Pingora патчей пока нет. Владельцам таких систем советуют по возможности отключить HTTP/2, либо разместить перед сервером прокси или межсетевой экран с жесткими ограничениями на количество заголовков. Кроме того, защиту могут обеспечить CDN, обратные прокси, WAF и нестандартные настройки серверов, которые не позволяют напрямую обращаться к уязвимому HTTP/2-эндпоинту.


Специалисты из компании Calif представили новую DoS-атаку под названием HTTP/2 Bomb, которая затрагивает популярные веб-серверы и прокси, включая nginx, Apache HTTP Server, Microsoft IIS, Envoy и Cloudflare Pingora. Атака сочетает сразу два давно известных подхода и позволяет одной машине быстро исчерпать десятки гигабайт памяти на сервере. По словам исследователей, проблема присутствует в стандартной конфигурации HTTP/2 и не связана с какой-либо конкретной реализацией протокола. Стоит отметить, что проблему обнаружили с помощью OpenAI Codex, который помог объединить две уже известные техники атак. В основе HTTP/2 Bomb лежит комбинация HPACK-компрессии и техники Slowloris. Первая часть отвечает за резкое увеличение потребления памяти, а вторая не позволяет серверу освободить эту память. Атака злоупотребляет механизмом HPACK — алгоритмом сжатия заголовков HTTP/2. Злоумышленник добавляет запись в динамическую таблицу HPACK, а затем многократно ссылается на нее с помощью индексной записи размером всего один байт. В итоге один байт входящего трафика может вынудить сервер выделять тысячи байт памяти. Хуже всего в тестах исследователей показали себя Envoy и Apache HTTP Server, где коэффициент амплификации достигал примерно 5700:1 и 4000:1 соответственно. Однако ключевой особенностью атаки HTTP/2 Bomb является не сама компрессия. Специалисты поясняют, что сервер обычно освобождает выделенную память после завершения запроса. Чтобы этого не произошло, атакующий устанавливает нулевой размер окна управления потоком (flow-control window). Из-за этого запрос не завершается полностью, а занятая память остается закрепленной за соединением. По словам авторов исследования, именно сочетание двух механизмов делает атаку настолько опасной. Ограничения на размер декодированных заголовков не помогают защититься от HTTP/2 Bomb, поскольку сами заголовки остаются маленькими. Основная нагрузка приходится на внутренние структуры, которые сервер создает для обработки каждой записи. Практические тесты показали, что даже обычный домашний ПК с каналом 100 Мбит/с способен вывести уязвимый сервер из строя за считанные секунды. Например, в случае Apache HTTP Server и Envoy один клиент может занять и удерживать около 32 Гбайт памяти примерно за 20 секунд. Во время тестирования исследователи получили следующие результаты: Envoy 1.37.2 исчерпал 32 Гбайт памяти примерно за 10 секунд; Apache httpd 2.4.67 — за 18 секунд; nginx 1.29.7 — примерно за 45 секунд; Microsoft IIS на Windows Server 2025 занял 64 Гбайт памяти примерно за 45 секунд. Полные технические подробности HTTP/2 Bomb эксперты обещают раскрыть позже в этом месяце на конференции Real World AI Security. При этом PoC-код уже опубликован. Отмечается, что в nginx проблема устранена в версии 1.29.8, где появился новый параметр max_headers. Исправление для Apache HTTPD вошло в mod_http2 2.0.41, и проблема получила идентификатор CVE-2026-49975. Для Microsoft IIS, Envoy и Cloudflare Pingora патчей пока нет. Владельцам таких систем советуют по возможности отключить HTTP/2, либо разместить перед сервером прокси или межсетевой экран с жесткими ограничениями на количество заголовков. Кроме того, защиту могут обеспечить CDN, обратные прокси, WAF и нестандартные настройки серверов, которые не позволяют напрямую обращаться к уязвимому HTTP/2-эндпоинту.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: