文章总结： 安全研究人员披露高危HTTP/2Bomb漏洞，影响Nginx、ApacheHTTPd、IIS、Envoy及CloudflarePingora等主流Web服务器。攻击利用HPACK头部压缩机制，通过发送单字节数据触发服务器内存大量分配，并配合零字节流量控制窗口锁定内存，导致家用宽带即可在数十秒内耗尽服务器32GB内存。部分厂商已发布补丁或提供临时禁用HTTP/2的缓解方案。 综合评分： 85 文章分类： 漏洞预警,Web安全,网络安全

高危 HTTP/2 炸弹漏洞突袭！5大主流服务器全中招，家用宽带就能打崩站点

看雪学苑 看雪学苑

看雪学苑

2026年6月3日 18:08 上海

在小说阅读器读本章

去阅读

近日，网络安全研究人员发现了一个极具破坏力的远程拒绝服务（DoS）漏洞，波及范围涵盖NGINX、Apache HTTPD、微软IIS、Envoy以及Cloudflare Pingora等主流Web服务器。

该漏洞被命名为 “HTTP/2 Bomb”，由安全机构 Calif 首次披露。更令人关注的是，这一漏洞是由OpenAI Codex在组合两种已知攻击手法，压缩炸弹与Slowloris式连接保持时意外发现并链式利用的。

攻击原理：一个字节引发的“内存雪崩”

漏洞的核心出在HTTP/2协议的头部压缩机制HPACK上。攻击者只需发送一个字节的数据，服务器就会为其分配一个完整的头部结构内存。这个操作可以在一个请求中重复成千上万次。

更致命的是，攻击者还会配合一个零字节的流量控制窗口，让服务器无法释放任何已分配的内存。这就像一个永远无法关上的水龙头，水流虽小，但水池终将溢出。

与过往漏洞有何不同？

早在2016年，安全圈就出现过名为HPACK Bomb的漏洞（CVE-2016-6581）。传统压缩炸弹的做法是将一个巨大的值塞进头部表里，然后反复引用，迫使服务器限制总解码大小。

而这次的新玩法恰恰相反：头部几乎是空的，真正的杀伤力来自服务器为每个空条目所做的元数据记录和内存管理操作。由于几乎没有内容需要解码，解码大小限制根本不会触发。

攻击威力有多大？

研究人员的实测数据令人震惊：

• 一台普通家庭电脑（100Mbps带宽）就能在数秒内让未防护的服务器瘫痪；
• 针对Apache HTTPD和Envoy，单个客户端约20秒即可消耗并锁定32GB服务器内存。

如何防范？

目前各厂商的应对状态如下：

• NGINX：已发布1.29.8+版本，新增max_headers指令（默认1000）。无法升级可暂时关闭HTTP/2（http2 off;）
• Apache HTTPD：mod_http2升级至v2.0.41可修复。也可设置Protocols http/1.1禁用HTTP/2
• 微软IIS、Envoy、Cloudflare Pingora：截至发稿尚无补丁

专家点评：协议设计存在根本缺陷

Calif方面指出，HTTP/2协议规范将内存风险仅视为“放大比率”问题，但这只是事实的一半。一个70:1的放大器本无大碍，如果请求完成后内存会被释放。

真正的漏洞成因在于：HTTP/2允许客户端几乎零成本地保持连接不断开，从而让所有已分配的内存字节被无限期锁定。

不是压缩太强，而是连接太“黏”。

资讯来源：The Hacker News

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《高危 HTTP/2 炸弹漏洞突袭！5大主流服务器全中招，家用宽带就能打崩站点》