Сегодня 02 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

ИИ-агент OpenAI Codex помог раскрыть атаку HTTP/2 Bomb: всего один компьютер может вывести из строя целый сервер

Всего один компьютер с интернет-подключением на скорости 100 Мбит/с оказался способен произвести DoS-атаку, которой присвоили название HTTP/2 Bomb, сообщили эксперты в области кибербезопасности из компании Calif. Это открытие им помог сделать агент искусственного интеллекта OpenAI Codex.

 Источник изображения: Shamin Haky / unsplash.com

Источник изображения: Shamin Haky / unsplash.com

В основу схемы атаки легла методика злоупотребления форматом сжатия заголовков HPACK. Гипотетический злоумышленник обманом заставляет веб-сервер резервировать большие объёмы памяти, отправляя при этом очень небольшие фрагменты данных. Он эксплуатирует функцию протокола HTTP/2, которая позволяет небольшим объёмам разрастаться до больших объёмов данных на сервере, заставляя его выделять ресурсы памяти. Обычно после обработки запроса память высвобождается, но атакующий подключает другую функцию HTTP/2, позволяющую поддерживать соединение открытым неограниченно долго. По мере поступления запросов сервер потребляет всё больше памяти, после чего замедляется и выходит из строя.

Механизм атаки работает на конфигурациях HTTP/2 основных веб-серверов, в том числе NGINX, Apache HTTP Server, Microsoft IIS, Envoy и Cloudflare Pingora. Они «обеспечивают работу значительной области веб-пространства», то есть риск весьма значителен. Некоторые разработчики уже выпустили обновления, а другие продукты ещё остаются уязвимыми. В случае Apache httpd и Envoy один клиент может потреблять и удерживать 32 Гбайт памяти сервера примерно за 20 секунд. Существующие средства защиты бессильны против HTTP/2 Bomb, потому что значения используемых в атаке заголовком ничтожно малы.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Авторитетный инсайдер опроверг закрытие Obsidian Entertainment и работу студии над новой Fallout 3 мин.
Правительство США снова взломали: хакеры проникли в федеральную платформу для обмена разведданными 9 мин.
«Не можешь — научим, не хочешь — заставим»: Microsoft мобилизует 6000 сотрудников для помощи клиентам во внедрении ИИ 30 мин.
Браузер Opera получил продвинутую защиту от ввода вредоносных команд через буфер обмена 31 мин.
Google начала тестировать новую reCAPTCHA — пользователей просят показать руки в камеру, и не обязательно свои 55 мин.
ИИ оказался слишком дорогим: компании урезают сотрудникам доступ к ChatGPT и Claude 57 мин.
Студия создателя Deus Ex и System Shock перестанет делать игры — после провала Thick as Thieves в OtherSide осталось меньше десяти человек 2 ч.
Google не смогла отбиться от рекордного штрафа в €4,1 млрд в Европе 2 ч.
Кризис Xbox поставил под угрозу закрытия Obsidian — студию в ответе за Fallout: New Vegas, Pillars of Eternity и South Park: The Stick of Truth 3 ч.
Toyota собирается при помощи ИИ навести порядок в своей документации и терминологии 3 ч.