近日，网络安全研究人员发现了一个极具破坏力的远程拒绝服务（DoS）漏洞，波及范围涵盖NGINX、Apache HTTPD、微软IIS、Envoy以及Cloudflare Pingora等主流Web服务器。

该漏洞被命名为 “HTTP/2 Bomb”，由安全机构 Calif 首次披露。更令人关注的是，这一漏洞是由OpenAI Codex在组合两种已知攻击手法，压缩炸弹与Slowloris式连接保持时意外发现并链式利用的。

攻击原理：一个字节引发的“内存雪崩”

漏洞的核心出在HTTP/2协议的头部压缩机制HPACK上。攻击者只需发送一个字节的数据，服务器就会为其分配一个完整的头部结构内存。这个操作可以在一个请求中重复成千上万次。

更致命的是，攻击者还会配合一个零字节的流量控制窗口，让服务器无法释放任何已分配的内存。这就像一个永远无法关上的水龙头，水流虽小，但水池终将溢出。

与过往漏洞有何不同？

早在2016年，安全圈就出现过名为HPACK Bomb的漏洞（CVE-2016-6581）。传统压缩炸弹的做法是将一个巨大的值塞进头部表里，然后反复引用，迫使服务器限制总解码大小。

而这次的新玩法恰恰相反：头部几乎是空的，真正的杀伤力来自服务器为每个空条目所做的元数据记录和内存管理操作。由于几乎没有内容需要解码，解码大小限制根本不会触发。

攻击威力有多大？

研究人员的实测数据令人震惊：

• 一台普通家庭电脑（100Mbps带宽）就能在数秒内让未防护的服务器瘫痪；

• 针对Apache HTTPD和Envoy，单个客户端约20秒即可消耗并锁定32GB服务器内存。

如何防范？

目前各厂商的应对状态如下：

• NGINX：已发布1.29.8+版本，新增max_headers指令（默认1000）。无法升级可暂时关闭HTTP/2（http2 off;）

• Apache HTTPD：mod_http2升级至v2.0.41可修复。也可设置Protocols http/1.1禁用HTTP/2

• 微软IIS、Envoy、Cloudflare Pingora：截至发稿尚无补丁

专家点评：协议设计存在根本缺陷

Calif方面指出，HTTP/2协议规范将内存风险仅视为“放大比率”问题，但这只是事实的一半。一个70:1的放大器本无大碍，如果请求完成后内存会被释放。

真正的漏洞成因在于：HTTP/2允许客户端几乎零成本地保持连接不断开，从而让所有已分配的内存字节被无限期锁定。

不是压缩太强，而是连接太“黏”。

资讯来源：The Hacker News

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！