ภัยใหม่ HTTP/2 Bomb! ยิง DoS จากคอมเครื่องเดียว ล่มเว็บเซิร์ฟเวอร์ในไม่กี่วินาที

นักวิจัยด้านความปลอดภัยเปิดเผยเทคนิคโจมตีแบบ Denial-of-Service (DoS) รูปแบบใหม่ชื่อ “HTTP/2 Bomb” ที่สามารถทำให้เว็บเซิร์ฟเวอร์ล่มได้ภายในไม่กี่วินาที แม้จะใช้เพียงคอมพิวเตอร์เครื่องเดียวในการโจมตีก็ตาม

ต่างจากการโจมตีแบบ DDos ที่เป็นการโจมตีจาก “หลายเครื่องพร้อมกัน” มักเกิดจาก Botnet หรือเครื่องที่ถูกมัลแวร์ยึดไว้จำนวนมาก แล้วสั่งยิงทราฟฟิกเข้าเป้าหมายพร้อมกัน

การโจมตีนี้ส่งผลกระทบต่อการตั้งค่า HTTP/2 แบบเริ่มต้นของเว็บเซิร์ฟเวอร์ยอดนิยมหลายราย ไม่ว่าจะเป็น NGINX, Apache HTTP Server, Microsoft IIS, Envoy และ Cloudflare Pingora

เทคนิคดังกล่าวถูกค้นพบโดย Codex ซอฟต์แวร์เอเจนต์ของ OpenAI ภายใต้การดูแลของนักวิจัยจากบริษัทด้าน Offensive Security ชื่อ Calif

HTTP/2 Bomb คือการนำเทคนิคโจมตี DoS ที่มีอยู่ก่อนแล้ว 2 รูปแบบมาผสมเข้าด้วยกัน ได้แก่ การขยายการใช้หน่วยความจำผ่านกลไก HPACK Compression และการค้างทรัพยากรแบบ Slowloris ผ่านระบบ Flow Control ของ HTTP/2

เมื่อสองเทคนิคนี้ทำงานร่วมกัน ผู้โจมตีที่มีอินเทอร์เน็ตเพียง 100 Mbps ก็สามารถทำให้เซิร์ฟเวอร์ต้องใช้หน่วยความจำระดับหลายสิบ GB ภายในเวลาไม่กี่วินาที และยังทำให้ระบบไม่สามารถคืนหน่วยความจำนั้นกลับมาได้

นักวิจัยระบุว่า เพียงคอมพิวเตอร์ตามบ้านเครื่องเดียวก็สามารถทำให้เซิร์ฟเวอร์ที่มีช่องโหว่ใช้งานไม่ได้แทบจะทันที โดยในการทดสอบกับ Apache httpd และ Envoy พบว่าสามารถกิน RAM ได้ถึง 32 GB ภายในเวลาประมาณ 20 วินาที

หัวใจสำคัญของการโจมตีอยู่ที่กลไก HPACK ซึ่งเป็นระบบบีบอัด Header ของโปรโตคอล HTTP/2

ผู้โจมตีจะใส่ Header เข้าไปในตาราง Dynamic Table ของ HPACK ก่อนจะอ้างอิง Header เดิมซ้ำ ๆ ผ่านข้อมูลขนาดเล็กมาก บางครั้งมีขนาดเพียง 1 ไบต์ แต่กลับทำให้ฝั่งเซิร์ฟเวอร์ต้องจัดสรรหน่วยความจำจำนวนมหาศาล

ในการทดสอบ Envoy และ Apache httpd เป็นสองระบบที่ได้รับผลกระทบหนักที่สุด โดยมีอัตราขยายหน่วยความจำสูงถึง 5,700:1 และ 4,000:1 ตามลำดับ

หลังจากนั้น การโจมตีจะเข้าสู่ขั้นตอน “กัก” หน่วยความจำไม่ให้ถูกคืนกลับ โดยอาศัยกลไก HTTP/2 Flow Control ผ่านการตั้งค่า Window Size เป็น 0 ไบต์

แทนที่เซิร์ฟเวอร์จะส่งข้อมูลตอบกลับจนจบ ระบบจะส่งเฟรม WINDOW_UPDATE ขนาดเล็กเป็นระยะเพื่อหลีกเลี่ยงการหมดเวลา ทำให้ Request ไม่สิ้นสุด และหน่วยความจำที่ถูกจองไว้เพิ่มขึ้นเรื่อย ๆ โดยไม่ถูกคืนกลับเข้าสู่ระบบ

นักวิจัยอธิบายว่า วิธีนี้สามารถหลบระบบป้องกันที่มีอยู่เดิมได้ เพราะ Header ที่ใช้โจมตีจริง ๆ มีขนาดเล็กมาก ขณะที่ปัญหาเกิดจากกระบวนการจัดการหน่วยความจำภายในเซิร์ฟเวอร์เอง

ผลการทดสอบกับเว็บเซิร์ฟเวอร์หลัก 4 ราย มีดังนี้

• Envoy 1.37.2 ใช้ RAM 32 GB จนเต็มภายในประมาณ 10 วินาที
• Apache httpd 2.4.67 ใช้ RAM 32 GB จนเต็มภายในประมาณ 18 วินาที
• nginx 1.29.7 ใช้ RAM 32 GB จนเต็มภายในประมาณ 45 วินาที
• IIS บน Windows Server 2025 ใช้ RAM 64 GB จนเต็มภายในประมาณ 45 วินาที

แม้รายละเอียดเชิงเทคนิคแบบเต็มจะถูกเปิดเผยในการประชุม Real World AI Security ช่วงปลายเดือนนี้ แต่นักวิจัยระบุว่า Proof-of-Concept (PoC) สำหรับการโจมตีดังกล่าวถูกเผยแพร่ออกมาแล้ว

ทีมวิจัยจาก Calif ระบุว่า แม้แต่ละเทคนิคจะไม่ใช่เรื่องใหม่ แต่เมื่อถูกนำมารวมกันกลับสร้างผลกระทบรุนแรงกว่าที่คาดไว้มาก

พวกเขาชี้ว่า แม้มาตรฐาน HPACK จะกล่าวถึงความเสี่ยงด้าน Memory Amplification อยู่แล้ว แต่ไม่ได้คำนึงถึงกรณีที่ผู้โจมตีสามารถ “ยึด” หน่วยความจำที่ถูกจองไว้ไม่ให้ถูกคืนกลับได้ผ่านระบบ Flow Control ของ HTTP/2

อย่างไรก็ตาม ไม่ใช่ทุกระบบที่จะได้รับผลกระทบ เพราะบางแพลตฟอร์มเริ่มมีแพตช์ออกมาแล้ว และบางองค์กรอาจมีการตั้งค่าป้องกันไว้ล่วงหน้า เช่น ใช้งานผ่าน CDN หรือ Reverse Proxy ที่ไม่เปิดเผย Endpoint HTTP/2 โดยตรง รวมถึงมีการจำกัดจำนวน Header ผ่าน WAF หรือปิดใช้งาน HTTP/2 ไปแล้ว

ปัจจุบัน nginx เวอร์ชัน 1.29.8 ได้แก้ปัญหานี้แล้วผ่าน Directive ใหม่ชื่อ “max_headers” ขณะที่ Apache httpd mod_http2 2.0.41 ได้ออกแพตช์ภายใต้รหัส CVE-2026-49975

อย่างไรก็ตาม ณ เวลานี้ ยังไม่มีแพตช์สำหรับ IIS, Envoy และ Pingora โดยนักวิจัยแนะนำว่า หากเป็นไปได้ควรปิดใช้งาน HTTP/2 ชั่วคราว หรือวาง Proxy และ Firewall ด้านหน้าเพื่อบังคับจำกัดจำนวน Header อย่างเข้มงวด เพื่อลดความเสี่ยงจากการโจมตี HTTP/2 Bomb

ที่มา