พบเทคนิคโจมตี DoS แบบใหม่ HTTP/2 Bomb ทำให้ Web Server ล่มได้ภายในไม่ถึงนาที

June 4, 2026 Cybersecurity, Threats Update

ทีมวิจัยด้านความปลอดภัยจาก Calif ค้นพบเทคนิคการโจมตีแบบ Denial-of-Service (DoS) รูปแบบใหม่ในชื่อ HTTP/2 Bomb ที่สามารถทำให้ web server ล่มได้ภายในไม่กี่วินาทีจากเครื่องคอมพิวเตอร์เพียงเครื่องเดียว

เทคนิคนี้ส่งผลกระทบต่อ web server หลักที่ใช้งานอย่างแพร่หลาย ได้แก่ NGINX, Apache HTTP Server, Microsoft IIS, Envoy และ Cloudflare Pingora โดยทำงานได้บน default configuration ของ HTTP/2 ทีมวิจัยจาก Calif ใช้ OpenAI Codex เป็นเครื่องมือในการค้นพบช่องโหว่ดังกล่าว ซึ่งเป็นการผสมผสานเทคนิค DoS สองแบบที่รู้จักกันอยู่แล้วเข้าด้วยกัน ได้แก่ HPACK compression amplification และ Slowloris-style resource retention ผ่าน HTTP/2 flow-control stalling

หลักการทำงานของ HTTP/2 Bomb คือการใช้กลไก HPACK ที่ใช้สำหรับ header compression ใน HTTP/2 โดยผู้โจมตีจะแทรก header เข้าไปใน HPACK dynamic table แล้วอ้างอิงซ้ำผ่าน indexed representation ขนาดเพียง 1 byte ส่งผลให้ข้อมูลจากฝั่งผู้โจมตีเพียง 1 byte สามารถทำให้ server จองหน่วยความจำได้หลายพัน byte โดย Envoy มีอัตราขยายสูงสุดที่ 5,700:1 ตามด้วย Apache httpd ที่ 4,000:1 จากนั้นผู้โจมตีจะป้องกันไม่ให้ server คืนหน่วยความจำได้ด้วยการประกาศ flow-control window ขนาด 0 byte ทำให้ request ไม่เสร็จสมบูรณ์และหน่วยความจำถูกจองค้างไว้ตลอด

จากการทดสอบพบว่าเครื่องคอมพิวเตอร์ที่เชื่อมต่ออินเทอร์เน็ตความเร็วเพียง 100 Mbps สามารถทำให้ Envoy 1.37.2 ใช้ RAM หมด 32 GB ภายในประมาณ 10 วินาที, Apache httpd 2.4.67 ภายใน 18 วินาที, nginx 1.29.7 ภายใน 45 วินาที และ IIS บน Windows Server 2025 ใช้ RAM หมด 64 GB ภายใน 45 วินาที ทั้งนี้ PoC exploit ได้ถูกเผยแพร่บน GitHub แล้ว โดยรายละเอียดทางเทคนิคทั้งหมดจะถูกนำเสนอในงาน Real World AI Security conference ในเดือนนี้

ปัจจุบันมีแพตช์แก้ไขแล้วบางส่วน โดย nginx version 1.29.8 ได้เพิ่ม max_headers directive และ Apache httpd mod_http2 2.0.41 ได้แก้ไขปัญหานี้ภายใต้รหัส CVE-2026-49975 อย่างไรก็ตาม ยังไม่มีแพตช์สำหรับ IIS, Envoy และ Pingora แนะนำให้ผู้ดูแลระบบพิจารณาปิดการใช้งาน HTTP/2 หากเป็นไปได้ และวาง reverse proxy หรือ firewall ที่จำกัดจำนวน header ไว้ด้านหน้า สำหรับระบบที่ใช้งาน CDN หรือ reverse proxy อยู่แล้วจะมีความเสี่ยงต่ำกว่าเนื่องจากไม่ได้เปิด HTTP/2 endpoint ตรงสู่ภายนอก

ที่มา: https://www.bleepingcomputer.com/news/security/new-http-2-bomb-dos-attack-crashes-web-servers-in-under-a-minute/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Anthropic เพิ่มอีก 150 องค์กรเข้า Project Glasswing

Anthropic กำลังขยายโครงการที่ช่วยให้องค์กรต่าง ๆ สามารถทดสอบระบบป้องกันความมั่นคงปลอดภัยทางไซเบอร์ของตนเองได้ โดยใช้โมเดล Claude Mythos Preview

JupiterOne เปิดตัว Continuous Controls Monitoring สำหรับทดสอบมาตรการควบคุมความมั่นคงปลอดภัยด้วยข้อมูลสินทรัพย์แบบเรียลไทม์

JupiterOne ผู้ให้บริการแพลตฟอร์มจัดการความเสี่ยงด้านปัญญาประดิษฐ์ ประกาศเปิดตัว “JupiterOne Continuous Controls Monitoring” (CCM) ผลิตภัณฑ์ใหม่ที่ทำหน้าที่ทดสอบว่ามาตรการควบคุมความมั่นคงปลอดภัยและการปฏิบัติตามกฎระเบียบกำลังทำงานอย่างถูกต้องบนสภาพแวดล้อมคลาวด์ บริการซอฟต์แวร์ และไฮบริดหรือไม่

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand