运维和网络安全团队需要立即关注——这个攻击从单机就能打垮主流 Web 服务器,且部分产品尚无补丁。建议检查你的 HTTP/2 配置,必要时先关闭或加限制。
网络安全公司 Calif 利用 OpenAI Codex 发现了一种名为 HTTP/2 Bomb 的新型拒绝服务攻击,可从单台机器发起,在数秒到数十秒内拖垮 Web 服务器。该攻击通过滥用 HPACK 压缩放大请求头(Envoy 放大比例达 5700:1)和利用 HTTP/2 流控停滞保留服务器资源,在 100 Mbps 连接下即可让服务器分配数十 GB 内存。测试显示,Envoy 1.37.2 约 10 秒耗尽 32GB 内存,Apache httpd 2.4.67 约 18 秒耗尽 32GB 内存。该攻击影响默认 HTTP/2 配置的 NGINX、Apache、微软 IIS、Envoy 和 Cloudflare Pingora。目前 nginx 和 Apache 已发布补丁,IIS、Envoy 和 Pingora 暂无修复,建议关闭 HTTP/2 或部署前端限制。
网络安全公司 Calif 利用 OpenAI Codex 发现了一种名为 HTTP/2 Bomb 的新型拒绝服务攻击,可从单台机器发起,在数秒到数十秒内拖垮 Web 服务器。该攻击通过滥用 HPACK 压缩放大请求头(Envoy 放大比例达 5700:1)和利用 HTTP/2 流控停滞保留服务器资源,在 100 Mbps 连接下即可让服务器分配数十 GB 内存。测试显示,Envoy 1.37.2 约 10 秒耗尽 32GB 内存,Apache httpd 2.4.67 约 18 秒耗尽 32GB 内存。该攻击影响默认 HTTP/2 配置的 NGINX、Apache、微软 IIS、Envoy 和 Cloudflare Pingora。目前 nginx 和 Apache 已发布补丁,IIS、Envoy 和 Pingora 暂无修复,建议关闭 HTTP/2 或部署前端限制。
IT之家 6 月 4 日消息,科技媒体 bleepingcomputer 昨日(6 月 3 日)发布博文,报道称网络安全公司 Calif 借助 OpenAI 的 Codex 智能体, 发现了 HTTP/2 Bomb 拒绝服务(DoS)攻击。 IT之家援引博文介绍,该 DoS 攻击可从单台机器发起,并在数秒到数十秒内拖垮 Web 服务器。该方法影响默认 HTTP/2 配置,涉及 NGINX、Apache HTTP Server、微软 II…