Calif 利用 OpenAI Codex 发现 HTTP/2 Bomb 拒绝服务攻击
阅读原文· ithome.com网络安全公司 Calif 借助 OpenAI Codex 智能体发现 HTTP/2 Bomb 拒绝服务攻击,单机在 100 Mbps 连接下数秒至数十秒内可拖垮 Web 服务器。攻击利用 HPACK 压缩放大请求头(Envoy 放大比 5700:1,Apache httpd 4000:1)并借零字节流控窗口滞留请求,迫使服务器分配大量内存且无法释放。测试显示 Envoy 1.37.2 约 10 秒耗尽 32GB 内存,Apache httpd 2.4.67 约 18 秒耗尽 32GB。nginx 1.29.8 已加入 max_headers 指令,Apache mod_http2 2.0.41 修复(CVE-2026-49975);IIS、Envoy 和 Pingora 暂无补丁,建议关闭 HTTP/2 或在前端限制请求头数量。
IT之家 6 月 4 日消息,科技媒体 bleepingcomputer 昨日(6 月 3 日)发布博文,报道称网络安全公司 Calif 借助 OpenAI 的 Codex 智能体,发现了 HTTP/2 Bomb 拒绝服务(DoS)攻击。
IT之家援引博文介绍,该 DoS 攻击可从单台机器发起,并在数秒到数十秒内拖垮 Web 服务器。该方法影响默认 HTTP/2 配置,涉及 NGINX、Apache HTTP Server、微软 IIS、Envoy 和 Cloudflare Pingora。
该攻击串联利用 HPACK 压缩放大请求头,以及借 HTTP/2 流控停滞保留服务器资源两类已知方法,在 100 Mbps 连接下,单个客户端就可能让服务器分配数十 GB RAM,并阻止内存释放。
Calif 给出的测试显示,Envoy 1.37.2 约 10 秒耗尽 32GB 内存,Apache httpd 2.4.67 约 18 秒耗尽 32 GB 内存。