AITOP
全部 AI 动态
AI 相关资讯全量信息流
全部博客资讯推文论文
全部模型产品行业论文技巧
标签:HTTP/2×
6月16日
20:46
6月12日
12:57
6月11日
15:28
15:23
15:07
6月4日
08:43
08:43IT之家博客/媒体
精选
网络安全公司 Calif 利用 OpenAI Codex 发现了一种名为 HTTP/2 Bomb 的新型拒绝服务攻击,可从单台机器发起,在数秒到数十秒内拖垮 Web 服务器。该攻击通过滥用 HPACK 压缩放大请求头(Envoy 放大比例达 5700:1)和利用 HTTP/2 流控停滞保留服务器资源,在 100 Mbps 连接下即可让服务器分配数十 GB 内存。测试显示,Envoy 1.37.2 约 10 秒耗尽 32GB 内存,Apache httpd 2.4.67 约 18 秒耗尽 32GB 内存。该攻击影响默认 HTTP/2 配置的 NGINX、Apache、微软 IIS、Envoy 和 Cloudflare Pingora。目前 nginx 和 Apache 已发布补丁,IIS、Envoy 和 Pingora 暂无修复,建议关闭 HTTP/2 或部署前端限制。
行业HTTP/2拒绝服务攻击安全漏洞Web服务器Codex
推荐理由:运维和网络安全团队需要立即关注——这个攻击从单机就能打垮主流 Web 服务器,且部分产品尚无补丁。建议检查你的 HTTP/2 配置,必要时先关闭或加限制。
原文