HTTP/2 Bomb 可远程拖垮多款主流服务器

研究人员披露名为 HTTP/2 Bomb 的远程拒绝服务攻击，影响 NGINX、Apache HTTPD、Microsoft IIS、Envoy 和 Cloudflare Pingora 的默认 HTTP/2 配置。攻击把 HPACK 压缩放大与类似 Slowloris 的连接占用结合起来，可持续占住服务器内存。

文中称，100 Mbps 家用网络可在数秒内让部分服务器不可用，Apache httpd 和 Envoy 单个客户端约 20 秒可占住 32 GB 内存。nginx 已在 1.29.8+ 加入修复，Apache 修复在 mod_http2 v2.0.41，IIS、Envoy 和 Pingora 暂无补丁。

Calif | The Hacker News

• 🔥免费PC翻墙、安卓VPN翻墙APP
• 🔥灵魂之谜|中华文化|治国大道

🌸 在花频道 · 备用频道 · 投稿通道