พบเทคนิคโจมตี DoS แบบใหม่ HTTP/2 Bomb ทำให้ Web Server ล่มได้ภายในไม่ถึงนาที

June 4, 2026 Cybersecurity, Threats Update

ทีมวิจัยด้านความปลอดภัยจาก Calif ค้นพบเทคนิคการโจมตีแบบ Denial-of-Service (DoS) รูปแบบใหม่ในชื่อ HTTP/2 Bomb ที่สามารถทำให้ web server ล่มได้ภายในไม่กี่วินาทีจากเครื่องคอมพิวเตอร์เพียงเครื่องเดียว

เทคนิคนี้ส่งผลกระทบต่อ web server หลักที่ใช้งานอย่างแพร่หลาย ได้แก่ NGINX, Apache HTTP Server, Microsoft IIS, Envoy และ Cloudflare Pingora โดยทำงานได้บน default configuration ของ HTTP/2 ทีมวิจัยจาก Calif ใช้ OpenAI Codex เป็นเครื่องมือในการค้นพบช่องโหว่ดังกล่าว ซึ่งเป็นการผสมผสานเทคนิค DoS สองแบบที่รู้จักกันอยู่แล้วเข้าด้วยกัน ได้แก่ HPACK compression amplification และ Slowloris-style resource retention ผ่าน HTTP/2 flow-control stalling

หลักการทำงานของ HTTP/2 Bomb คือการใช้กลไก HPACK ที่ใช้สำหรับ header compression ใน HTTP/2 โดยผู้โจมตีจะแทรก header เข้าไปใน HPACK dynamic table แล้วอ้างอิงซ้ำผ่าน indexed representation ขนาดเพียง 1 byte ส่งผลให้ข้อมูลจากฝั่งผู้โจมตีเพียง 1 byte สามารถทำให้ server จองหน่วยความจำได้หลายพัน byte โดย Envoy มีอัตราขยายสูงสุดที่ 5,700:1 ตามด้วย Apache httpd ที่ 4,000:1 จากนั้นผู้โจมตีจะป้องกันไม่ให้ server คืนหน่วยความจำได้ด้วยการประกาศ flow-control window ขนาด 0 byte ทำให้ request ไม่เสร็จสมบูรณ์และหน่วยความจำถูกจองค้างไว้ตลอด

จากการทดสอบพบว่าเครื่องคอมพิวเตอร์ที่เชื่อมต่ออินเทอร์เน็ตความเร็วเพียง 100 Mbps สามารถทำให้ Envoy 1.37.2 ใช้ RAM หมด 32 GB ภายในประมาณ 10 วินาที, Apache httpd 2.4.67 ภายใน 18 วินาที, nginx 1.29.7 ภายใน 45 วินาที และ IIS บน Windows Server 2025 ใช้ RAM หมด 64 GB ภายใน 45 วินาที ทั้งนี้ PoC exploit ได้ถูกเผยแพร่บน GitHub แล้ว โดยรายละเอียดทางเทคนิคทั้งหมดจะถูกนำเสนอในงาน Real World AI Security conference ในเดือนนี้

ปัจจุบันมีแพตช์แก้ไขแล้วบางส่วน โดย nginx version 1.29.8 ได้เพิ่ม max_headers directive และ Apache httpd mod_http2 2.0.41 ได้แก้ไขปัญหานี้ภายใต้รหัส CVE-2026-49975 อย่างไรก็ตาม ยังไม่มีแพตช์สำหรับ IIS, Envoy และ Pingora แนะนำให้ผู้ดูแลระบบพิจารณาปิดการใช้งาน HTTP/2 หากเป็นไปได้ และวาง reverse proxy หรือ firewall ที่จำกัดจำนวน header ไว้ด้านหน้า สำหรับระบบที่ใช้งาน CDN หรือ reverse proxy อยู่แล้วจะมีความเสี่ยงต่ำกว่าเนื่องจากไม่ได้เปิด HTTP/2 endpoint ตรงสู่ภายนอก

ที่มา: https://www.bleepingcomputer.com/news/security/new-http-2-bomb-dos-attack-crashes-web-servers-in-under-a-minute/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Okta ขยาย Ecosystem Cross App Access ดึงพาร์ทเนอร์ 25+ ราย คุมการเชื่อมต่อ AI Agent อย่างปลอดภัย

Okta ประกาศขยาย ecosystem ของ Cross App Access (XAA) ด้วยพาร์ทเนอร์กว่า 25 ราย อาทิ Anthropic, Atlassian, Slack, …

สคส. ยกระดับธรรมาภิบาลข้อมูลประเทศ ออกเกณฑ์รับรองมาตรฐาน PDPA Certification มุ่งสร้าง Trust Economy สู่สากล [PR]

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เดินหน้ายกระดับโครงสร้างพื้นฐานด้านการกำกับดูแลข้อมูลส่วนบุคคลของประเทศอย่างเป็นรูปธรรม หลังประกาศ “หลักเกณฑ์การให้ใบรับรองและเครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2569” และ “วิธีการและเงื่อนไขในการรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2569” ลงในราชกิจจานุเบกษา เมื่อวันที่ 18 มิถุนายน …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand