Сегодня 05 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

ИИ-агент OpenAI Codex помог раскрыть атаку HTTP/2 Bomb: всего один компьютер может вывести из строя целый сервер

Всего один компьютер с интернет-подключением на скорости 100 Мбит/с оказался способен произвести DoS-атаку, которой присвоили название HTTP/2 Bomb, сообщили эксперты в области кибербезопасности из компании Calif. Это открытие им помог сделать агент искусственного интеллекта OpenAI Codex.

 Источник изображения: Shamin Haky / unsplash.com

Источник изображения: Shamin Haky / unsplash.com

В основу схемы атаки легла методика злоупотребления форматом сжатия заголовков HPACK. Гипотетический злоумышленник обманом заставляет веб-сервер резервировать большие объёмы памяти, отправляя при этом очень небольшие фрагменты данных. Он эксплуатирует функцию протокола HTTP/2, которая позволяет небольшим объёмам разрастаться до больших объёмов данных на сервере, заставляя его выделять ресурсы памяти. Обычно после обработки запроса память высвобождается, но атакующий подключает другую функцию HTTP/2, позволяющую поддерживать соединение открытым неограниченно долго. По мере поступления запросов сервер потребляет всё больше памяти, после чего замедляется и выходит из строя.

Механизм атаки работает на конфигурациях HTTP/2 основных веб-серверов, в том числе NGINX, Apache HTTP Server, Microsoft IIS, Envoy и Cloudflare Pingora. Они «обеспечивают работу значительной области веб-пространства», то есть риск весьма значителен. Некоторые разработчики уже выпустили обновления, а другие продукты ещё остаются уязвимыми. В случае Apache httpd и Envoy один клиент может потреблять и удерживать 32 Гбайт памяти сервера примерно за 20 секунд. Существующие средства защиты бессильны против HTTP/2 Bomb, потому что значения используемых в атаке заголовком ничтожно малы.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Доля выпущенных в Китае электромобилей Tesla опустилась ниже 30 % мирового объёма поставок впервые с 2020 года 35 мин.
Прежде чем стать безопасными соседями для людей, роботам предстоит ещё сильно усовершенствоваться 2 ч.
TSMC получила разрешение тайваньских властей потратить ещё $20 млрд на завод в США 15 ч.
Вместо тысяч датчиков одна дешёвая камера — роботов научили чувствовать пальцами 16 ч.
В 2028 году Samsung планирует выпустить серийный смартфон с рулонным дисплеем 17 ч.
Портативная консоль AyaNeo Next 2 на AMD Strix Halo выйдет на мировой рынок — цена флагмана составит $5300 17 ч.
Micron начала строительство ещё одного завода по производству памяти в Хиросиме — он заработает в 2028 году 17 ч.
Из-за складного iPhone цены на складные смартфоны вырастут в среднем почти на 20 % 18 ч.
Производители памяти призвали власти США отказаться от регулирования рынка, чтобы не стало ещё хуже 18 ч.
Alibaba представила ИИ-агента для поиска сверхпроводников — он сразу открыл четыре новых 19 ч.