Serangan DoS ‘HTTP/2 Bomb’ yang baru membuat server web mogok dalam waktu kurang dari satu menit

Serangan penolakan layanan (DoS) baru yang dijuluki Bom HTTP/2 dapat diluncurkan dari satu mesin untuk melumpuhkan server web dalam hitungan detik.

Teknik ini bekerja pada konfigurasi HTTP/2 default server web utama, termasuk NGINX, Apache HTTP Server, Microsoft IIS, Envoy, dan Cloudflare Pingora.

Ditemukan oleh agen perangkat lunak Codex OpenAI di bawah bimbingan para peneliti di perusahaan keamanan ofensif Calif, HTTP/2 Bomb menggabungkan dua metode DoS HTTP/2 yang sebelumnya dikenal: amplifikasi kompresi HPACK dan retensi sumber daya gaya Slowloris melalui penghentian kontrol aliran HTTP/2.

Jika digabungkan, satu klien pada koneksi 100 Mbps dapat menghabiskan puluhan gigabyte RAM dalam hitungan detik, memaksa server untuk mengalokasikannya dan kemudian mencegah pelepasannya.

“Komputer di rumah dengan koneksi 100Mbps dapat membuat server yang rentan tidak dapat diakses dalam hitungan detik. Terhadap Apache httpd dan Envoy, satu klien dapat menggunakan dan menyimpan memori server sebesar 32GB dalam waktu sekitar 20 detik,” kata para peneliti.

Serangan HTTP/2 Bomb DoS menyalahgunakan mekanisme HPACK yang digunakan oleh protokol HTTP/2 untuk kompresi header dengan memasukkan header ke dalam tabel dinamis HPACK dan mereferensikannya berulang kali melalui representasi terindeks kompak yang dapat berukuran satu byte.

Akibatnya, satu byte yang dikirim oleh penyerang dapat menghasilkan ribuan byte alokasi memori sisi server, dengan Envoy dan Apache httpd menunjukkan rasio terburuk masing-masing pada 5.700:1 dan 4.000:1.

Bagian kedua dari serangan ini adalah mencegah pembebasan memori setelah permintaan selesai. Hal ini dapat dicapai dengan mengiklankan jendela kontrol aliran byte nol. Alih-alih mengirimkan respons, server secara berkala mengirimkan frame WINDOW_UPDATE kecil untuk menghindari batas waktu.

Dalam skenario ini, permintaan tidak pernah sepenuhnya selesai, dan memori yang dialokasikan terus bertambah tanpa dibebaskan.

Peneliti California menjelaskan bahwa pendekatan ini melewati pertahanan yang ada seperti batasan total ukuran header yang didekodekan, karena nilai header yang digunakan dalam serangan sangat kecil, dan penguatan berasal dari pembukuan internal per-header dan alokasi memori.

Saat menguji teknik serangan DoS baru terhadap empat server web utama, para peneliti mencapai hasil berikut:

• Envoy 1.37.2 menghabiskan RAM 32 GB dalam waktu sekitar 10 detik
• Apache httpd 2.4.67 menghabiskan 32 GB RAM dalam ~18 detik
• nginx 1.29.7 menghabiskan RAM 32 GB dalam ~45 detik
• IIS (Windows Server 2025) menghabiskan 64 GB RAM dalam ~45 detik

Rincian teknis lengkap untuk serangan HTTP/2 Bomb DoS akan diungkapkan pada konferensi Keamanan AI Dunia Nyata akhir bulan ini dalam presentasi dari peneliti Quang Luong.

Namun, eksploitasi proof-of-concept (PoC) telah dilakukan diterbitkan untuk metode serangan baru.

Dampak dan perbaikan

Peneliti California menekankan bahwa, meskipun tidak ada bagian dari serangan mereka yang baru, menggabungkan kedua teknik tersebut memiliki dampak yang signifikan.

Mereka mencatat bahwa meskipun spesifikasi algoritma HPACK berfokus pada risiko amplifikasi memori, spesifikasi tersebut tidak mengatasi apa yang terjadi ketika penyerang menahan alokasi memori tanpa batas waktu melalui kontrol aliran HTTP/2.

Namun, tidak semua server web rentan terhadap “Bom HTTP/2”, karena patch telah dirilis untuk beberapa platform. Selain itu, konfigurasi server khusus tertentu dapat memberikan perlindungan tidak langsung terhadap serangan tersebut.

Misalnya, sistem yang berjalan di belakang CDN atau proksi terbalik tidak mengekspos titik akhir HTTP/2 yang rentan dan lebih sulit untuk ditargetkan. Selain itu, beberapa penerapan mungkin sudah memiliki batas jumlah header khusus, WAF, proksi terbalik, atau HTTP/2 yang dinonaktifkan.

Masalah telah diperbaiki di nginx versi 1.29.8, yang menambahkan direktif ‘max_headers’, dan di Apache httpd mod_http2 2.0.41, yang masalah tersebut diberi pengenal CVE-2026-49975.

Pada saat penulisan, tidak ada patch yang tersedia untuk IIS, Envoy, atau Pingora. Di server web ini, disarankan untuk menonaktifkan HTTP/2 jika memungkinkan, dan menempatkan proxy/firewall di depan yang menerapkan batas jumlah header yang ketat.