ИИ-агент OpenAI Codex помог раскрыть атаку HTTP/2 Bomb: всего один компьютер может вывести из строя целый сервер

Содержание:

Всего один компьютер с интернет-подключением на скорости 100 Мбит/с оказался способен произвести DoS-атаку, которой присвоили название HTTP/2 Bomb, сообщили эксперты в области кибербезопасности из компании Calif. Это открытие им помог сделать агент искусственного интеллекта OpenAI Codex.

72 полёта над Марсом: как Ingenuity пережил зиму, сбои и собственную миссию

Обзор Intel Core Ultra 7 270K Plus — лучший Arrow Lake за полцены

Компьютер месяца — май 2026 года

Выбираем лучший игровой ноутбук до 100 000 рублей: сравнительное тестирование 7 интересных моделей

Обзор Intel Core Ultra 5 250K Plus, или Как Arrow Lake превратился в «топ за свои деньги»

Обзор Apple MacBook Neo: удивительно хороший ноутбук с процессором от iPhone

От Ryzen 7 1800X до Ryzen 7 9850X3D: девять лет эволюции AMD в одном тесте

Линия защиты: обзор виртуальных машин и песочниц для Android

В основу схемы атаки легла методика злоупотребления форматом сжатия заголовков HPACK. Гипотетический злоумышленник обманом заставляет веб-сервер резервировать большие объёмы памяти, отправляя при этом очень небольшие фрагменты данных. Он эксплуатирует функцию протокола HTTP/2, которая позволяет небольшим объёмам разрастаться до больших объёмов данных на сервере, заставляя его выделять ресурсы памяти. Обычно после обработки запроса память высвобождается, но атакующий подключает другую функцию HTTP/2, позволяющую поддерживать соединение открытым неограниченно долго. По мере поступления запросов сервер потребляет всё больше памяти, после чего замедляется и выходит из строя.

Рекомендую посмотреть

Microsoft подтвердила ошибку в Windows 11, из-за которой некоторые ПК перестали выключаться, и предложила «костыль»

Механизм атаки работает на конфигурациях HTTP/2 основных веб-серверов, в том числе NGINX, Apache HTTP Server, Microsoft IIS, Envoy и Cloudflare Pingora. Они «обеспечивают работу значительной области веб-пространства», то есть риск весьма значителен. Некоторые разработчики уже выпустили обновления, а другие продукты ещё остаются уязвимыми. В случае Apache httpd и Envoy один клиент может потреблять и удерживать 32 Гбайт памяти сервера примерно за 20 секунд. Существующие средства защиты бессильны против HTTP/2 Bomb, потому что значения используемых в атаке заголовком ничтожно малы.