พบ HTTP/2 Bomb โจมตีเว็บเซิร์ฟเวอร์ล่มได้ในไม่ถึงนาที
นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยเทคนิคโจมตี Denial-of-Service (DoS) รูปแบบใหม่ที่ชื่อว่า HTTP/2 Bomb ซึ่งสามารถใช้คอมพิวเตอร์เพียงเครื่องเดียวโจมตีให้เว็บเซิร์ฟเวอร์ล่มได้ภายในเวลาไม่กี่วินาที โดยไม่จำเป็นต้องใช้ Botnet หรือทราฟฟิกขนาดใหญ่เหมือนการโจมตี DDoS แบบดั้งเดิม
การโจมตีดังกล่าวส่งผลกระทบต่อเว็บเซิร์ฟเวอร์ยอดนิยมที่เปิดใช้งาน HTTP/2 ด้วยการตั้งค่าเริ่มต้น ไม่ว่าจะเป็น NGINX, Apache HTTP Server, Microsoft IIS, Envoy และ Cloudflare Pingora
HTTP/2 Bomb คืออะไร
HTTP/2 Bomb เป็นการนำเทคนิคโจมตีที่มีอยู่เดิมสองรูปแบบมารวมกัน ได้แก่
- การขยายการใช้หน่วยความจำผ่านกลไก HPACK Compression
- การยึดทรัพยากรของเซิร์ฟเวอร์ด้วยเทคนิคคล้าย Slowloris
เมื่อทำงานร่วมกัน ผู้โจมตีสามารถส่งข้อมูลขนาดเล็กมาก แต่บังคับให้เซิร์ฟเวอร์จัดสรรหน่วยความจำจำนวนมหาศาล และป้องกันไม่ให้ระบบคืนหน่วยความจำดังกล่าว ส่งผลให้ RAM ถูกใช้จนหมดและบริการหยุดทำงานในที่สุด
ใช้เพียงเครื่องเดียวก็โจมตีได้
ข้อมูลจากนักวิจัยระบุว่า คอมพิวเตอร์ทั่วไปที่เชื่อมต่ออินเทอร์เน็ตความเร็วเพียง 100 Mbps ก็สามารถทำให้เซิร์ฟเวอร์ที่มีช่องโหว่ไม่สามารถให้บริการได้ภายในไม่กี่วินาที
ผลการทดสอบพบว่า
| Web Server | ผลกระทบ |
|---|---|
| Envoy 1.37.2 | ใช้ RAM 32 GB เต็มในประมาณ 10 วินาที |
| Apache HTTPD 2.4.67 | ใช้ RAM 32 GB เต็มในประมาณ 18 วินาที |
| NGINX 1.29.7 | ใช้ RAM 32 GB เต็มในประมาณ 45 วินาที |
| IIS บน Windows Server 2025 | ใช้ RAM 64 GB เต็มในประมาณ 45 วินาที |
ผลลัพธ์ดังกล่าวแสดงให้เห็นว่าการโจมตีสามารถสร้างผลกระทบรุนแรงได้แม้ใช้ทรัพยากรฝั่งผู้โจมตีน้อยมาก
อาจกระทบเว็บไซต์กว่า 880,000 แห่ง
นักวิจัยประเมินว่ามีเว็บไซต์มากกว่า 880,000 แห่งทั่วโลกที่ใช้ HTTP/2 ร่วมกับเว็บเซิร์ฟเวอร์ที่ได้รับผลกระทบจากพฤติกรรมดังกล่าว แม้ว่าหลายเว็บไซต์จะมี CDN หรือระบบป้องกันเพิ่มเติมอยู่ด้านหน้า แต่ระบบที่เปิดให้เข้าถึงโดยตรงยังคงมีความเสี่ยงสูง
ความเสี่ยงต่อองค์กรและธุรกิจ
สำหรับองค์กรที่ให้บริการเว็บไซต์ แอปพลิเคชันออนไลน์ หรือระบบภายใน การโจมตีลักษณะนี้อาจส่งผลให้
- เว็บไซต์ไม่สามารถให้บริการได้
- ระบบลูกค้าออนไลน์หยุดชะงัก
- เกิด Downtime ที่ส่งผลต่อรายได้
- เพิ่มภาระให้ทีม IT Support ในการกู้คืนระบบ
- กระทบ SLA และความน่าเชื่อถือขององค์กร
โดยเฉพาะธุรกิจที่ให้บริการผ่าน Web Application หรือ API จำนวนมาก ควรให้ความสำคัญกับการตรวจสอบความพร้อมของโครงสร้างพื้นฐานอย่างต่อเนื่อง
แนวทางป้องกันที่แนะนำ
ผู้เชี่ยวชาญแนะนำให้องค์กรดำเนินการดังนี้
- อัปเดต Web Server เป็นเวอร์ชันล่าสุดทันทีที่ผู้พัฒนาออกแพตช์
- ตรวจสอบการตั้งค่า HTTP/2 และ Memory Allocation
- ใช้งาน Web Application Firewall (WAF)
- ใช้ CDN และระบบ DDoS Protection
- ติดตาม Log และ Performance Metrics อย่างสม่ำเสมอ
- วางแผนด้าน IT Maintenance เพื่อทดสอบความพร้อมของระบบเป็นประจำ
- ให้ทีม IT Support เฝ้าระวังการใช้งาน RAM และทราฟฟิกผิดปกติแบบเรียลไทม์
บทสรุป
HTTP/2 Bomb ถือเป็นภัยคุกคาม DoS รูปแบบใหม่ที่น่าจับตา เนื่องจากสามารถใช้ทรัพยากรเพียงเล็กน้อยในการสร้างผลกระทบต่อเว็บเซิร์ฟเวอร์ขนาดใหญ่ได้อย่างรวดเร็ว องค์กรที่พึ่งพาระบบออนไลน์ควรเร่งตรวจสอบโครงสร้างพื้นฐาน HTTP/2 ของตน พร้อมวางแผนด้าน IT Solution และ IT Maintenance เพื่อป้องกันความเสียหายจากการหยุดชะงักของบริการในอนาคต
