HTTP/2 Bomb攻擊手法影響主流網頁伺服器,恐遭用於DoS攻擊
HTTP/2 Bomb 是 2026 年 6 月揭露的遠端拒絕服務(DoS)攻擊手法,鎖定 HTTP/2 預設組態與標頭處理流程。攻擊者透過極少量流量,誘使伺服器配置大量標頭相關記憶體,最終導致服務緩慢或無法存取。
攻擊機制
HTTP/2 Bomb 將兩種既有技術串接:
- HPACK 壓縮炸彈:利用 HTTP/2 標頭壓縮機制 HPACK 的索引引用,使伺服器反覆配置標頭記憶體。
- Slowloris 式連線占用:透過宣告零位元組 HTTP/2 流量控制視窗,讓伺服器無法完成回應,也無法釋放已配置記憶體。
Calif 指出,此組合由 OpenAI 程式開發代理 Codex 發現,凸顯 AI 輔助安全研究可能將既有技術重新組合成高影響攻擊鏈。
影響範圍
研究指出,HTTP/2 Bomb 影響多款主流網頁伺服器與代理伺服器:
單一用戶端測試顯示,envoy 1.37.2 約 10 秒內可被占用 32GB 記憶體,放大比例最高約 5,700:1;apache-httpd 2.4.67 約 18 秒內可被占用 32GB 記憶體,放大比例約 4,000:1。
修補與緩解
- nginx 自 1.29.8 版起加入
max_headers指令,預設值為 1000。 - apache-httpd 的 mod_http2 v2.0.41 已修正,修補可從獨立 mod_http2 套件版本與 httpd trunk 取得,但尚未納入 Apache httpd 2.4.x 正式版。
- 此問題被指定為 CVE-2026-49975;若無法升級,研究者建議停用 HTTP/2。
來源文章
- ithome-2026-06-04-http2-bomb-dos-176351 — iThome 原始來源
相關頁面
- nginx — 受影響網頁伺服器與修補方
- apache-httpd — 受影響網頁伺服器與 mod_http2 修補方
- microsoft-iis — 受影響網頁伺服器
- envoy — 受影響代理伺服器
- cloudflare-pingora — 受影響代理伺服器
- cloudflare — Pingora 維護公司