文章总结: 该文档详细解析了CVE-2026-49975HTTP/2Bomb高危漏洞,攻击者利用HTTP/2协议层的HPACK头部压缩和流控制机制,仅需1字节流量即可在服务器端产生最高5700倍的内存放大效应。漏洞影响Nginx、Apache、Envoy等主流Web服务器,其中Envoy的5700倍放大最为危险且尚未修复。文档提供了非破坏性检测工具http2-bomb-detector的使用方法,并给出按优先级排序的修复方案,建议企业安全团队立即开展内部扫描和升级工作。 综合评分: 92 文章分类: 漏洞分析,漏洞预警,威胁情报,应急响应,WEB安全
HTTP/2 Bomb 漏洞全解析:1 byte 流量炸掉 32GB 服务器内存
原创
M0t0y M0t0y
moonbeautSec
2026年6月26日 19:52 北京
在小说阅读器读本章
去阅读
🔴 CVSS 9.8 · 高危 无需认证,10-20 秒可耗尽 32GB 服务器内存
2026 年 6 月 2 日,安全研究员 Quang Luong 公开了一个影响几乎所有主流 Web 服务器的致命漏洞——CVE-2026-49975,HTTP/2 Bomb。
这不是普通的 DDoS。它是 HTTP/2 协议层的设计缺陷——利用了 HPACK 头部压缩和流控制两个基础机制的组合效应,攻击者只需发送极少字节就能在服务器端制造高达 5700 倍的内存放大。
一句话概括:用 1 bytes 的流量换 59 bytes 的内存(Nginx),或用 1 bytes 换 4000 bytes 内存(Apache)。重复几千次,服务器直接 OOM。
🧨 漏洞全景
| | | | — | — | | CVE 编号 | CVE-2026-49975(主) / CVE-2026-47774(关联) | | 别名 | HTTP/2 Bomb · HPACK Bomb · QVD-2026-30962 | | CVSS 3.1 | 9.8 CRITICAL | | CWE | CWE-789 — Memory Allocation with Excessive Size Value | | 发现者 | Quang Luong | | 公开时间 | 2026 年 6 月 2 日 |
⚡ 两种攻击手法
HTTP/2 Bomb 有两个变体,针对不同服务器的实现缺陷:
🐧 Nginx 变体:HPACK 索引引用炸弹
攻击者向 HPACK 动态表插入 ("a", "") 表项,然后发送指向该表项的索引引用。每个引用仅占 1 byte 线上流量,但服务器解压后在内存中分配 59 bytes(3B pool copy + 56B ngx_table_elt_t)。重复 32000 次即可耗尽内存。
放大比:~70:1 修复版本:Nginx ≥ 1.29.8
🪶 Apache 变体:Cookie Crumb 合并炸弹
利用 mod_http2 的 Cookie 合并机制——apr_table_setn 用 "; " 连接重复 cookie,合并后的 cookie 不计入 LimitRequestFields。攻击者发送 4091 个空 cookie 引用,在内存中合并出一个巨大的 cookie 字符串。
放大比:~4,000:1 修复版本:mod_http2 ≥ 2.0.41 / httpd ≥ 2.4.68
⚠️ 关键点:两种攻击都是无认证的——攻击者只需要和服务器建立一次 TLS 握手 + HTTP/2 连接即可发动。
🌐 影响范围:几乎全覆盖
| 服务器 | 受影响版本 | 放大比 | 修复状态 | | — | — | — | — | | Apache httpd | 2.4.17 – 2.4.67 | ~4,000:1 | ✅ 已修复 | | Nginx | < 1.29.8 | ~70:1 | ✅ 已修复 | | Envoy | ≤ 1.37.2 | ~5,700:1 | ❌ 未修复 | | IIS | 含 Win Server 2025 | ~68:1 | ❌ 未修复 | | Cloudflare Pingora | ≤ 0.8.0 | ~62:1 | ❌ 未修复 |
🚨 Envoy 最危险:5700 倍放大且未修复。作为 Istio / K8s 服务网格的事实标准,影响面极广。
🛡️ 检测与修复
社区已经放出了多个检测和修复工具:
🔍 非破坏性检测:http2-bomb-detector
零依赖 Python 工具,仅用标准库(ssl + socket + struct)。发送极少量探测包(refs=3,远低于攻击参数),根据服务器响应判断是否存在漏洞:
- 服务器返回
ENHANCE_YOUR_CALM→ 🛡️ 已部署防护 RST_STREAM拒绝探测流 → 🛡️ 有防护GOAWAY主动断连 → 🛡️ 有防护- 静默接受 → ⚠️ 可能受影响
安装
git clone https://github.com/adminlove520/http2-bomb-detector cd http2-bomb-detector
单目标检测
python http2_bomb_detector.py –host example.com
批量检测 + 报告
python http2_bomb_detector.py -f targets.txt -o report.txt
JSON 格式输出(对接 SIEM)
python http2_bomb_detector.py –host example.com –json
🔧 修复优先级
| 优先级 | 服务器 | 修复方案 | | — | — | — | | P0 | Envoy Istio / K8s 网关 · 5700 倍放大 | 升级到 ≥ 1.37.3(待官方发布) 临时措施:外部 WAF + 限制 HTTP/2 连接速率 | | P1 | IIS Windows Server · 未修复 | 关闭 HTTP/2(改 HTTP/1.1) 临时方案:前置 Nginx 反向代理(≥ 1.29.8) | | P1 | Cloudflare Pingora 未修复 | 升级到 ≥ 0.8.1(待官方发布) | | P2 | Nginx 已修复 · 补丁可用 | 升级到 ≥ 1.29.8 | | P2 | Apache httpd 已修复 · 补丁可用 | 升级 mod_http2 到 ≥ 2.0.41 或 httpd ≥ 2.4.68 |
💭 总结
HTTP/2 Bomb 值得警惕,不是因为它有什么精巧的利用链,而恰恰是因为它太简单、影响面太广:
🔴 无认证,攻击门槛几乎为零
🔴 1 byte 线上流量 → 最高 5700 bytes 服务器内存
🔴 Nginx + Apache 已修,但 Envoy / IIS / Pingora 仍未修复
💡 如果你的 K8s 集群跑 Istio(Envoy),这是眼下最该优先处理的安全问题。
Fortinet 已发布 SOAR 应急响应方案,NVD 已收录。建议安全团队本周内完成内部扫描。
🔗 检测工具:github.com/adminlove520/http2-bomb-detector 🔗 PoC 复现:github.com/beichenst/http2-bomb 🔗 NVD 详情:CVE-2026-49975
本文由 Hermes Agent 辅助撰写 · 技术分享,非商业推广 检测工具仅限授权安全测试使用 · 数据截至 2026 年 6 月 26 日
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:moonbeautSec M0t0y M0t0y《HTTP/2 Bomb 漏洞全解析:1 byte 流量炸掉 32GB 服务器内存》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论