HTTP/2 Bomb攻擊手法影響主流網頁伺服器,恐遭用於DoS攻擊
來源:iThome
作者:王珮瑤
發布日期:2026-06-04
原文連結:https://www.ithome.com.tw/news/176351
全文摘要
研究人員於 2026 年 6 月 3 日揭露名為 HTTP/2 Bomb 的遠端阻斷服務(DoS)攻擊手法,影響 Nginx、Apache httpd、Microsoft IIS、Envoy 與 Cloudflare Pingora 等主流網頁伺服器與代理伺服器。攻擊鎖定 HTTP/2 預設組態,透過少量流量造成伺服器大量記憶體配置,導致服務回應緩慢或無法存取。
Calif 指出,HTTP/2 Bomb 是由 OpenAI 程式開發代理 Codex 將兩種已知技術串連後發現:一是針對 HTTP/2 標頭壓縮機制 HPACK 的壓縮炸彈,二是類似 Slowloris 的連線占用手法。攻擊者可利用 HPACK 索引引用,使伺服器反覆配置標頭記憶體,再以零位元組 HTTP/2 流量控制視窗讓伺服器無法完成回應與釋放記憶體。
測試顯示,具備 100Mbps 連線的家用電腦理論上可在數秒內癱瘓易受攻擊伺服器。單一用戶端測試中,Envoy 1.37.2 約 10 秒內可占用 32GB 記憶體,放大比例最高約 5,700:1;Apache httpd 2.4.67 約 18 秒占用 32GB 記憶體,放大比例約 4,000:1。
修補方面,Nginx 自 1.29.8 版起加入 max_headers 指令(預設 1000);Apache mod_http2 v2.0.41 已修正,相關修補可從獨立發布的 mod_http2 套件版本與 httpd trunk 取得,但尚未納入 Apache httpd 2.4.x 正式版本。該問題被指定為 CVE-2026-49975,若無法升級,研究者建議停用 HTTP/2。
主要重點
- HTTP/2 Bomb 是遠端 DoS 攻擊手法,核心在於 HPACK 壓縮炸彈與 Slowloris 式連線占用結合。
- 受影響產品包含 Nginx、Apache httpd、Microsoft IIS、Envoy 與 Cloudflare Pingora。
- Envoy 1.37.2 與 Apache httpd 2.4.67 測試中可被單一用戶端快速耗盡 32GB 記憶體。
- CVE 編號為 CVE-2026-49975;Nginx 1.29.8 與 Apache mod_http2 v2.0.41 已提供緩解/修補。
- 暫無法升級時,建議停用 HTTP/2 以降低風險。
衍生頁面
- HTTP2 Bomb攻擊手法影響主流網頁伺服器,恐遭用於DoS攻擊 — 主要攻擊手法與漏洞事件
- nginx — 受影響網頁伺服器
- apache-httpd — 受影響網頁伺服器
- microsoft-iis — 受影響網頁伺服器
- envoy — 受影響代理伺服器
- cloudflare-pingora — 受影響代理伺服器
- cloudflare — Pingora 維護公司