HTTP/2 Bomb: AI 기반 체이닝 공격으로 서버 메모리 32GB 고갈

Context

HTTP/2 기본 설정의 취약점을 이용한 DoS 공격 기법 분석. 기존 HPACK compression bomb와 Slowloris 공격이 결합된 새로운 형태의 위협으로, 단일 클라이언트만으로도 서버 가용성을 즉각적으로 상실시키는 구조적 한계 노출.

Technical Solution

• HPACK compression 알고리즘의 특성을 악용한 수천 개의 미세 메시지 전송을 통한 급격한 메모리 할당 유도
• Slowloris 방식의 연결 유지 기법을 병행하여 할당된 서버 리소스를 점유하는 연결 상태 지속
• 두 가지 legacy 공격 기법을 체이닝하여 메모리 고갈과 커넥션 풀 점유를 동시에 달성하는 공격 벡터 설계
• nginx의 경우 max_headers 지시어 도입을 통해 클라이언트당 요청 헤더 수 제한으로 메모리 폭주 방어
• Apache httpd의 mod_http2 업데이트를 통한 요청 처리 로직 보완 및 리소스 할당 제한 적용
• Microsoft IIS 및 Cloudflare Pingora의 경우 HTTP/2 비활성화 또는 헤더 수 캡 설정 권고