Пријави инцидент
Пријави инцидент

Нов DoS напад „HTTP/2 Bomb“ ги руши веб-серверите за помалку од една минута

Објавено: 04.06.2026

Нов напад за одбивање на услуга (DoS) наречен HTTP/2 Bomb може да се изведе од една единствена машина и да ги сруши веб-серверите за неколку секунди.

Техниката функционира на стандардни HTTP/2 конфигурации на големи веб-сервери, вклучувајќи NGINX, Apache HTTP Server, Microsoft IIS, Envoy и Cloudflare Pingora.

Откриен од софтверскиот агент Codex на OpenAI под водство на истражувачи од компанијата за офанзивна безбедност Calif, HTTP/2 Bomb комбинира две претходно познати HTTP/2 DoS техники: HPACK компресиска амплификација и задржување ресурси слично на Slowloris преку блокирање на HTTP/2 flow-control.

Кога се комбинираат, еден клиент со интернет конекција од 100 Mbps може да исцрпи десетици гигабајти RAM меморија за неколку секунди, принудувајќи го серверот да ја алоцира меморијата и потоа спречувајќи нејзино ослободување.

„Домашен компјутер со 100 Mbps конекција може да направи ранлив сервер недостапен за неколку секунди. Против Apache httpd и Envoy, еден клиент може да потроши и задржи 32 GB серверска меморија за околу 20 секунди,“ велат истражувачите.

HTTP/2 Bomb DoS нападот го злоупотребува HPACK механизмот што HTTP/2 протоколот го користи за компресија на хедери, така што вметнува хедер во HPACK динамичната табела и потоа повторно го користи повеќепати преку компактен индексиран запис кој може да биде долг само еден бајт.

Како резултат, еден бајт испратен од напаѓачот може да предизвика илјадници бајти алокација на серверска меморија, при што Envoy и Apache httpd покажуваат најлоши односи од 5.700:1 и 4.000:1, соодветно.

Вториот дел од нападот се состои во спречување на ослободување на меморијата по завршување на барањето. Тоа се постигнува со најавување на zero-byte flow-control window. Наместо да испрати одговор, серверот периодично испраќа мали WINDOW_UPDATE рамки за да избегне timeout.

Во ваков сценарио, барањата никогаш целосно не се завршуваат и алоцираната меморија продолжува да расте без да се ослободува.

Истражувачите од Calif објаснуваат дека овој пристап ги заобиколува постојните заштити како лимити на вкупната декодирана големина на хедери, бидејќи вредностите на хедерите што се користат во нападот се мали, а засилувањето доаѓа од внатрешни алокации и bookkeeping по хедер.

При тестирање против четири големи веб-сервери, истражувачите ги добиле следните резултати:

  • Envoy 1.37.2 – 32 GB RAM исцрпени за ~10 секунди
  • Apache httpd 2.4.67 – 32 GB RAM исцрпени за ~18 секунди
  • nginx 1.29.7 – 32 GB RAM исцрпени за ~45 секунди
  • IIS (Windows Server 2025) – 64 GB RAM исцрпени за ~45 секунди

Целосните технички детали за HTTP/2 Bomb нападот ќе бидат објавени на конференцијата Real World AI Security подоцна овој месец, во презентација од истражувачот Quang Luong.

Сепак, веќе се објавени proof-of-concept (PoC) експлоити за овој нов метод на напад.

Демонстрација на нападот

Влијание и поправки

Истражувачите забележуваат дека, иако спецификациите за HPACK алгоритмот се фокусираат на ризиците од засилување на меморијата, тие не го адресираат сценариото кога напаѓач може да ја задржи алоцираната меморија на неодредено време преку HTTP/2 flow control.

Сепак, не сите веб-сервери се ранливи на „HTTP/2 Bomb“, бидејќи веќе постојат објавени закрпи за некои платформи. Дополнително, одредени прилагодени конфигурации на сервери можат индиректно да обезбедат заштита од нападот.

На пример, системи што работат зад CDN мрежи или reverse proxy сервери не го изложуваат директно ранливиот HTTP/2 endpoint и затоа се потешки за таргетирање. Исто така, некои имплементации можеби веќе имаат сопствени лимити за број на хедери, WAF (Web Application Firewall), reverse proxy заштита или целосно исклучен HTTP/2.

Проблемот е поправен во nginx верзија 1.29.8, која воведе директива ‘max_headers’, како и во Apache httpd mod_http2 2.0.41, каде проблемот е означен со идентификатор CVE-2026-49975.

Во моментот на пишување, нема достапна закрпа за IIS, Envoy или Pingora. Кај овие веб-сервери се препорачува, каде што е можно, да се исклучи HTTP/2 и да се постави proxy или firewall пред нив кој ќе наметнува строги лимити за број на хедери.

Истражувачите од Calif нагласуваат дека, иако ниту еден од двата делови на нападот сам по себе не е особено нов, нивната комбинација има значително поголемо влијание.

Извори:

  • Bleeping Computer – New ‘HTTP/2 Bomb’ DoS attack crashes web servers in under a minute Bleeping Computer