当前位置首页 行业新闻 HTTP/2 Bomb攻击被曝大规模影响主流Web服务器 Nginx、Apache等用户需尽快排查
恒创科技

广告

 hostinger

广告

HTTP/2 Bomb攻击被曝大规模影响主流Web服务器 Nginx、Apache等用户需尽快排查

作者: sunny 分类: 行业新闻 发布时间: 2026.06.10 15:00:06 更新于: 2026.06.10 15:00:06
美国云服务器推荐

一项被安全研究人员命名为“HTTP/2 Bomb”的拒绝服务(DoS)攻击正在引起业内广泛关注。与传统的大流量DDoS不同,这类攻击并不依赖庞大的攻击带宽,而是利用HTTP/2协议自身机制放大服务器资源消耗,从而在较短时间内造成内存耗尽、服务异常甚至网站无法访问。

据了解,包括Nginx、Apache HTTP Server、Microsoft IIS、Envoy以及Cloudflare Pingora等主流Web服务组件均受到不同程度影响。部分企业用户已经反馈,其线上服务器曾因类似攻击出现资源被迅速占满的情况,导致业务中断。

对于启用了HTTP/2的网站运营者而言,当前最重要的事情并不是等待攻击发生,而是尽快检查服务器版本和相关配置。

什么是HTTP/2 Bomb攻击?

HTTP/2是目前互联网广泛使用的应用层协议,相比传统HTTP/1.1具有多路复用、头部压缩等性能优势,因此绝大多数HTTPS网站都会默认启用HTTP/2。而HTTP/2 Bomb正是针对这些协议特性设计的一种资源消耗型攻击。

攻击者利用协议中的两个关键机制:

1、HPACK头部压缩放大

HTTP/2采用HPACK算法压缩请求头,以减少传输体积。攻击者可以构造特殊请求,在网络层看似只发送了较小的数据包,但服务器在解析过程中却需要分配远超请求本身大小的内存资源,从而形成资源放大效应。

2、流量控制机制滥用

HTTP/2引入了流量窗口(Flow Control)机制,用于控制数据传输速度。

攻击者可以通过精心构造请求,使服务器已经分配出的缓冲区和连接资源长时间无法释放,导致内存持续被占用。

当这两种技术组合使用时,即使攻击者只拥有有限带宽,也有机会让目标服务器在短时间内出现严重资源耗尽现象。

为什么这个漏洞值得重视?

很多管理员看到漏洞公告后,第一反应往往是:“不能提权、不能执行代码,好像没那么严重。”实际上并非如此。对于线上业务来说,服务可用性本身就是最重要的安全指标之一。

HTTP/2 Bomb虽然无法直接获取服务器权限,但它能够导致:

  • 网站访问速度明显下降
  • API接口响应异常
  • Web服务频繁重启
  • 内存被持续占满
  • 整个站点无法访问

公开测试数据显示,在100Mbps网络环境下,仅使用单个客户端即可让部分服务器在几十秒内消耗数十GB内存资源。

测试结果显示:

  • Envoy 1.37.2约10秒耗尽32GB内存
  • Apache HTTP Server 2.4.67约18秒耗尽32GB内存

对于业务量较大的生产环境而言,这类攻击带来的影响已经远远超出“普通漏洞”的范畴。

哪些环境可能受到影响?

目前公开资料显示,以下组件均存在相关风险:

  • Nginx
  • Apache HTTP Server
  • Microsoft IIS
  • Envoy Proxy
  • Cloudflare Pingora

需要特别注意的是,问题并不局限于某一个软件版本。

只要业务链路中存在HTTP/2通信,并且组件尚未完成修复,就可能面临被利用的风险。

以下场景建议优先排查:

  • 使用 Nginx 并开启 HTTP/2 的站点;
  • 使用 Apache HTTP Server 并开启 HTTP/2 的站点;
  • 前面挂了 Envoy、IIS、Pingora 等 HTTP/2 网关或反向代理的环境;
  • HTTPS 站点中启用了 HTTP/2,但长期没有升级 Web 服务版本的环境。

官方修复进展

目前主要厂商已经陆续发布安全修复。

Nginx官方已在后续版本中修复相关问题。建议升级至:Nginx 1.29.8及以上版或直接升级至1.30.1及更新版本,考虑到后续版本同时修复了其他安全问题,升级到最新稳定版通常是更稳妥的选择。

Apache官方已发布修复版本Apache HTTP Server 2.4.68,官方确认:

  • 受影响版本:2.4.17 – 2.4.67
  • 修复版本:2.4.68及以上
  • IIS、Envoy与Pingora

由于各产品修复时间表不同,建议持续关注官方安全公告。

需要注意的是,不同厂商采用的漏洞编号并不完全一致,因此不能仅根据CVE-2026-49975一个编号判断是否安全。

无法立即升级怎么办?临时缓解建议如下:

  • 临时关闭 HTTP/2;
  • 在前置网关、WAF、负载均衡处限制请求头数量;
  • 限制异常连接数、请求速率和长时间占用连接;
  • 观察服务器内存、连接数、负载和网站访问状态;
  • 调整配置前,先做好网站和配置备份。

这里需要注意,关闭 HTTP/2 可能会影响部分站点性能体验,但相比服务被打到不可用,临时规避风险通常更重要。具体是否关闭,建议结合业务实际访问量、前置防护能力和升级条件来判断。

对于使用宝塔面板管理服务器的用户,建议优先检查当前Nginx版本。如果版本较旧,应尽快升级至官方修复版本。

不过需要特别提醒:切换Nginx版本时,宝塔会重新部署相关程序文件。

如果曾修改过:

  • Nginx主配置文件
  • 自定义模块
  • 自定义脚本
  • /www/server/nginx目录中的其他文件

务必提前做好完整备份。

HTTP

否则升级后可能导致配置丢失。此外,如果短期内无法完成升级,也可以先在前置防护层进行流量限制,并根据业务情况评估是否临时关闭HTTP/2支持。

(本文由美国主机侦探原创,转载请注明出处“美国主机侦探”和原文地址!)

主机侦探企业微信

微信扫码加好友进群

主机优惠码及时掌握

主机侦探QQ群

QQ群号:164393063

主机优惠发布与交流

0
标签:

温馨提示:

1、本站部分图片来源于互联网,如有侵权请联系删除。邮箱:2942802716#qq.com(#改为@)

2、本文评论没有专人回复,如果您有问题请到美国主机侦探论坛提问!

3、美国主机侦探免费为您提供美国主机购买咨询。

RAKsmart美国服务器
下一篇
已经没有了
相关推荐
返回顶部