2026-06-04 08:39:04
亚汇网援引博文介绍,该DoS攻击可从单台机器发起,并在数秒到数十秒内拖垮Web服务器。该方法影响默认HTTP/2配置,涉及NGINX、ApacheHTTPServer、微软IIS、Envoy和CloudflarePingora。该攻击串联利用HPACK压缩放大请求头,以及借HTTP/2流控停滞保留服务器资源两类已知方法,在100Mbps连接下,单个客户端就可能让服务器分配数十GBRAM,并阻止内存释放。Calif给出的测试显示,Envoy1.37.2约10秒耗尽32GB内存,Apachehttpd2.4.67约18秒耗尽32GB内存。攻击的第一步是滥用HPACK动态表。攻击者先插入一个请求头,再用紧凑索引反复引用它。一个字节的输入可能触发服务器分配数千字节内存,Envoy与Apachehttpd的放大比例分别达到5700:1和4000:1。第二步则让请求无法完整结束。攻击者声明零字节流控窗口,服务器无法正常返回响应,只能周期性发送很小的WINDOW_UPDATE帧避免超时。于是请求一直挂起,已分配内存持续增长。修复方面,nginx1.29.8已加入max_headers指令,Apachehttpdmod_http22.0.41修复了该问题,并分配编号CVE-2026-49975。IIS、Envoy和Pingora暂无补丁,建议在可行时关闭HTTP/2,并在前端部署代理或防火墙,强制限制请求头数量。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。
