Araştırmacılar, HTTP/2 protokolündeki iki farklı zafiyeti birleştiren yeni bir hizmet reddi saldırısı keşfetti. HTTP/2 Bomb adı verilen bu teknik, tek bir istemci makinesiyle NGINX, Apache HTTP Server, Microsoft IIS, Envoy ve Cloudflare Pingora gibi büyük web sunucularını saniyeler içinde çalışamaz hale getirebiliyor. Saldırıyı bulan Calif güvenlik firması araştırmacıları, 100 Mbps bağlantı hızına sahip ev bilgisayarının bile savunmasız bir sunucuyu yaklaşık yirmi saniyede 32 GB RAM tüketerek devre dışı bırakabileceğini kanıtladı.

HPACK Sıkıştırma Ve Akış Kontrolü Zafiyetleri Birleşerek Dev Amplifikasyon Yaratıyor

HTTP/2 Bomb DoS saldırısı, HPACK sıkıştırma amplifikasyonu ile Slowloris tarzı kaynak tutma yöntemini bir araya getiriyor. Saldırının ilk aşamasında, saldırgan HPACK dinamik tablosuna bir başlık ekleyip bunu kompakt indeksli temsil aracılığıyla tekrar tekrar referans gösteriyor. Bu yöntemle saldırganın gönderdiği tek bir bayt, sunucu tarafında binlerce baytlık bellek tahsisine yol açıyor. Envoy ve Apache httpd için bu amplifikasyon oranı sırasıyla 5.700:1 ve 4.000:1 gibi devasa seviyelere ulaşıyor.

Saldırının ikinci aşaması, istek tamamlandıktan sonra tahsis edilen belleğin serbest bırakılmasını engellemeyi hedefliyor. Saldırgan sıfır baytlık bir akış kontrol penceresi bildirerek sunucunun yanıt göndermesini engelliyor ve periyodik olarak küçük WINDOW_UPDATE çerçeveleri göndererek zaman aşımını önlüyor. Bu senaryoda istekler hiçbir zaman tamamlanmıyor ve tahsis edilen bellek sürekli büyüyor.

Web Sunucularının HTTP/2 Bomb Karşısındaki Dayanıklılık Süreleri

Calif araştırmacılarının dört büyük web sunucusu üzerinde yaptığı testler çarpıcı sonuçlar ortaya koydu. Envoy 1.37.2 sürümü 32 GB RAM’i yaklaşık 10 saniyede tüketirken, Apache httpd 2.4.67 aynı miktarda belleği 18 saniyede, nginx 1.29.7 ise 45 saniyede harcadı. IIS (Windows Server 2025) ise 64 GB RAM’i yaklaşık 45 saniyede tüketti. Araştırmacılar, HTTP/2 Bomb saldırısının tam teknik detaylarını bu ayın ilerleyen günlerinde Real World AI Security konferansında sunacak.

👉️ İlginizi Çekebilir: Almanya, İtalya Ve İngiltere’deki Kurumlar TA4922’nin Atlas RAT Saldırılarıyla Karşı Karşıya

Bu saldırı yöntemi, mevcut savunma mekanizmalarını da etkisiz hale getiriyor. Toplam kodlanmış başlık boyutu limitleri gibi korumalar, saldırıda kullanılan başlık değerleri çok küçük olduğu ve amplifikasyon dahili per-header defter tutma ve bellek tahsislerinden geldiği için işe yaramıyor. Saldırının Proof-of-concept örnekleri zaten yayınlanmış durumda.

HTTP/2 Bomb Saldırılarından Korunmak İçin Yama Yayınlandı

HTTP/2 Bomb düzeltmeleri bazı platformlar için zaten yayınlandı. nginx 1.29.8 sürümüne ‘max_headers’ direktifi eklenirken, Apache httpd mod_http2 2.0.41 için CVE-2026-49975 tanımlandı. IIS, Envoy ve Pingora için henüz bir yama bulunmuyor. Bu sunucularda HTTP/2’nin devre dışı bırakılması veya önüne katı başlık sayısı limitleri uygulayan bir proxy/güvenlik duvarı yerleştirilmesi öneriliyor.

CDN veya ters proxy arkasında çalışan sistemler, savunmasız HTTP/2 uç noktasını doğrudan dışarıya açmadıkları için bu saldırıya karşı daha az risk taşıyor. Ayrıca, özel başlık sayısı limitleri, WAF’lar veya HTTP/2’nin devre dışı bırakıldığı dağıtımlar da dolaylı koruma sağlayabiliyor.