Uusi HTTP/2 Bomb DoS-hyökkäys hyödyntää protokollan multiplexing-ominaisuutta luoden miljoonia pyyntöjä yhdellä koneella ja kaataa palvelimet sekunteissa.
Tutkijat ovat paljastaneet uuden HTTP/2 Bomb -nimisen palvelunestohyökkäyksen, joka kykenee kaatamaan web-palvelimet alle minuutissa käyttäen vain yhtä hyökkääjäkonetta. Hyökkäys hyödyntää HTTP/2-protokollan multiplexing-ominaisuutta, jonka avulla yksittäinen TCP-yhteys voi käsitellä useita samanaikaisia pyyntöjä. Tekniikka luo miljoonia HTTP-pyyntöjä lyhyessä ajassa, mikä ylittää palvelimen resurssit ja aiheuttaa kaatumisen.
HTTP/2 Bomb eroaa perinteisistä DoS-hyökkäyksistä merkittävästi tehokkuudeltaan ja yksinkertaisuudeltaan. Kun tavanomaisten volumetristen hyökkäysten toteuttaminen vaatii tyypillisesti botnet-verkkoa tai useita koneita, tämä uusi menetelmä toimii yhdeltä IP-osoitteelta käsin. Hyökkäys on erityisen tehokas, koska se ohittaa monia perinteisiä DoS-suojauksia, jotka perustuvat liikenteen määrän tarkkailuun yhteyden tasolla.
Hyökkäyksen kohteeksi voivat joutua kaikki HTTP/2-protokollaa tukevat web-palvelimet, mukaan lukien Apache, Nginx ja IIS. Vaikutus on erityisen merkittävä verkkokauppojen, SaaS-palveluiden ja muiden kriittisten verkkopalveluiden kannalta, joiden saatavuus on liiketoiminnan kannalta elintärkeää. Hyökkäys voi aiheuttaa merkittäviä taloudellisia tappioita ja maine-haittoja kohdeorganisaatioille.
Suojautuminen edellyttää HTTP/2-asetusten optimointia, mukaan lukien samanaikaisten streamien rajoittaminen ja yhteyksien aikakatkaisu-arvojen säätäminen. Web-palvelimen konfiguraatiota tulisi päivittää rajoittamaan HTTP/2-multiplexing-ominaisuuksien käyttöä ja harkita väliaikaista palaamista HTTP/1.1-protokollaan kriittisimmissä ympäristöissä. Palveluntarjoajien ja CDN-palveluiden käyttö voi myös auttaa lieventämään hyökkäyksen vaikutuksia.
Tärkeimmät pointit
- HTTP/2 Bomb hyödyntää multiplexing-ominaisuutta miljoonien pyyntöjen luomiseen yhdellä TCP-yhteydellä
- Hyökkäys toimii yhdeltä IP-osoitteelta ohittaen perinteiset DoS-suojaukset
- Kohteena kaikki HTTP/2-tukevat palvelimet: Apache, Nginx, IIS
- Palvelimet kaatuvat alle minuutissa resurssienpuutteen vuoksi
- Suojaus vaatii HTTP/2-asetusten optimointia ja streamien rajoittamista
- Väliaikainen HTTP/1.1-paluu voi olla tarpeen kriittisissä ympäristöissä
Lähde: Bleeping Computer — alkuperäinen artikkeli julkaistu 3.6.2026
