Direkt zum Hauptbereich

Lautloser Server-Killer: Neue HTTP/2-Attacke verbraucht 32 GB RAM im Handumdrehen

Von Jonas
Das sind die Zahlen, die Sicherheitsforscher der Firma Calif veröffentlicht haben. Envoy, einer der weit verbreiteten Webserver, bricht in ihren Tests nach zehn Sekunden zusammen: der gesamte verfügbare RAM voll, der Dienst nicht mehr erreichbar. Apache braucht achtzehn Sekunden. Nginx fünfundvierzig. Microsoft IIS auf Windows Server 2025 hält am längsten durch: vierzig bis fünfundvierzig Sekunden, dann sind 64 Gigabyte RAM verbraucht.

JZ-Überblick (Kurz und knackig):
  • Neue DoS‑Technik „HTTP/2 Bomb“ kann Webserver in Sekunden lahmlegen: ein einzelner Client genügt.
  • Betroffen sind Standard‑HTTP/2‑Konfigurationen von Nginx, Apache httpd, Microsoft IIS, Envoy und Cloudflare Pingora.
  • Die Attacke kombiniert HPACK‑Header‑Kompression mit einem Slowloris‑ähnlichen Flow‑Control‑Hold: Speicher wird massiv belegt und nicht freigegeben.
  • In Tests konnte ein einzelner Rechner mit 100 Mbit/s bis zu 32–64 GB RAM in unter einer Minute verbrauchen und Server unbenutzbar machen.
  • Gegenmaßnahmen: Patches einspielen, HTTP/2 begrenzen oder vorübergehend deaktivieren, zusätzliche Schutzschichten wie WAF/Reverse‑Proxy einsetzen.

Nahaufnahme von Netzwerkgeräten mit eingesteckten Ethernet‑Kabeln; LEDs an Switches leuchten blau und grün.
Angriff auf die Infrastruktur: Die neue HTTP/2‑Bomb kann Server in Sekunden überlasten, selbst ohne Botnetz.


Kein Botnetz. Kein verteilter Angriff. Ein einzelner Rechner mit einer normalen Internetverbindung.

Die Schwachstelle heißt HTTP/2 Bomb, und sie funktioniert, weil HTTP/2: das Protokoll, das heute einen Großteil des modernen Webverkehrs trägt, auf Effizienz optimiert wurde. Diese Effizienz wird zur Angriffsfläche.

Die technische Mechanik ist elegant in ihrer Bösartigkeit. HTTP/2 nutzt ein Kompressionsverfahren namens HPACK, das Header-Informationen effizient überträgt. Client und Server teilen eine dynamische Tabelle mit Header-Einträgen. Ein kleiner Indexbyte auf Clientseite referenziert einen vollständigen Header-Eintrag auf Serverseite. Genau das macht sich der Angriff zunutze: Der Angreifer fügt einen minimalen Header in die Tabelle ein und referenziert ihn anschließend tausendfach. Auf dem Server entstehen tausende Header-Strukturen, jede mit eigenem Speicher-Overhead. Die klassische Verteidigung, ein Limit für die dekodierte Headergröße, greift nicht, weil die eigentlichen Werte winzig sind. Die Last entsteht durch das Bookkeeping, nicht durch große Inhalte.

Aber das allein würde nicht reichen. Der zweite Teil des Angriffs verhindert, dass der Server den belegten Speicher wieder freigibt. HTTP/2 hat eine Flusskontrolle, die regelt, wie schnell Daten fließen dürfen. Der Angreifer setzt sein Empfangsfenster auf null Byte, der Server darf keine vollständige Antwort senden und hält die Streams offen. Um Timeouts zu vermeiden, schickt er nur minimale Kontrollinformationen. Die Verbindung ist formal aktiv. Der Speicher wächst. Kontinuierlich, ungebremst, bis der Server kollabiert.

Was die Situation besonders unangenehm macht, ist das Erkennungsproblem. Klassische DDoS-Abwehr sucht nach Auffälligkeiten: ungewöhnlich viele Verbindungen, hohe Bandbreite, verdächtige Paketmuster. Die HTTP/2 Bomb erzeugt keines davon. Der Traffic ist minimal. Das Verhalten sieht nach normalem HTTP/2-Protokollverkehr aus. Die eigentliche Attacke spielt sich im Inneren des Servers ab, bei der Speicherverwaltung, unsichtbar für Volumen-Filter und einfache Rate-Limits.

Entdeckt wurde der Angriff nicht durch klassische Sicherheitsforschung, sondern durch einen KI-gestützten Code-Agenten. OpenAI Codex kombinierte zwei bekannte Konzepte: Kompressionsbomben gegen HPACK und Slowloris-ähnliche Techniken zur Verbindungsblockierung, zu einem neuen, hochwirksamen Angriffsmuster. Das ist die Nebengeschichte, die man nicht übersehen sollte: dieselben KI-Systeme, die Administratoren schützen sollen, finden Schwachstellen, die Menschen übersehen hätten.

Was Betreiber jetzt tun müssen, ist konkret. Nginx ab Version 1.29.8 enthält einen Fix mit einer neuen Direktive, die die maximale Header-Anzahl begrenzt. Apache hat mod_http2 in Version 2.0.41 korrigiert. Wer nicht sofort patchen kann, kann HTTP/2 vorübergehend deaktivieren, das ist ein Schritt zurück in der Performance, aber kein inakzeptabler. Vorgeschaltete Reverse-Proxies, Web Application Firewalls, WAAP-Dienste, die HTTP/2-Anomalien erkennen, können als zusätzliche Schicht helfen.

Was diese Schwachstelle über die aktuelle Sicherheitslage sagt, ist mehr als ein technisches Detail. Protokolle, die auf Effizienz optimiert wurden, tragen ihre Optimierungen als potenzielle Angriffsflächen mit sich. HTTP/2 ist besser als HTTP/1.1: schneller, sparsamer, skalierbarer. Aber jede Optimierung schafft Annahmen, und jede Annahme kann ausgenutzt werden. Das ist kein Argument gegen Protokollentwicklung. Es ist ein Argument für die Erkenntnis, dass Fortschritt und neue Angriffsvektoren immer zusammen kommen.

Die nächste Welle von Angriffen kommt nicht aus Botnetzen mit Millionen kompromittierten Geräten. Sie kommt aus präzise ausgenutzten Protokolldetails, entdeckt von KI-Systemen, die Muster kombinieren, die Menschen nicht zusammenbringen würden.

Ein Byte. Tausend Header. Dreißig Gigabyte.

In zehn Sekunden.






Von: Jonas
Bildquelle: Albert Stoynov auf Unsplash
JZ-App
Labels:

Kommentare

Kommentar veröffentlichen

Kommentar

Beliebte Beiträge

Das Millionen-Geschenk: Warum Firmen zur WM massenhaft Trikots verschenken

Von Jonas
Check24 verschenkt Trikots. Edeka verschenkt Trikots. Tipico verschenkt Trikots. Im Handel kostet ein offizielles Fan Shirt gerade um die hundert Euro. Wer bekommt so etwas gratis? Menschen, die eine App herunterladen, einen Newsletter abonnieren, sich registrieren, Daten hinterlassen. JZ-Überblick (Kurz und knackig): Check24, Edeka & Co. verschenken wieder massenhaft WM‑Trikots: trotz hoher Kosten. Der Grund: Daten, Markenbindung, Sichtbarkeit und Social‑Media‑Effekte. Gratis‑Trikots erzeugen extreme Reichweite: und sind günstiger als klassische Werbung. Für Unternehmen sind die Aktionen Marketing‑Investitionen mit hoher Rendite, keine Wohltätigkeit. Sichtbarkeit im emotionalen Ausnahmezustand: Große Marken nutzen die enorme Reichweite in den Stadien und Fankurven gezielt für ihre Marketing-Kampagnen. Das Trikot ist kein Geschenk. Es ist ein Tauschgeschäft. Was Unternehmen dafür bekommen, lässt sich in mehreren Schichten lesen. Die offensichtlichste: Sichtbarkeit. Ein Trikot mi...
Kommentar veröffentlichen
Mehr lesen »

Schluss mit dem App Chaos: Android bekommt endlich eine einheitliche Anrufliste

Von Jonas
Wer ein Android-Smartphone benutzt und WhatsApp, Telegram oder Google Meet für Anrufe nutzt, kennt das Problem. Verpasster Anruf in WhatsApp: App öffnen. Verpasster Anruf über Meet: andere App öffnen. Normale Telefonnummer: Telefon-App. Drei Protokolle, drei Orte, drei Schritte, wo einer reichen würde. JZ-Überblick (Kurz und knackig): Googles Telefon-App auf Android bündelt künftig alle Anrufe : auch aus WhatsApp, Telegram, Signal & Co. in einer Liste. Das Feature heißt „Einheitliche Anrufliste“ / „Unified Call Log“ und basiert auf Jetpack Telecom 1.1.0 . VoIP-Anrufe erscheinen direkt im System-Anrufprotokoll , inklusive Rückruf über den jeweiligen Dienst. Start zunächst mit Google Meet , WhatsApp & andere Apps folgen: und müssen ihre Apps aktiv anpassen. Verfügbar nur auf aktuellen Pixel-Geräten und Android-17-Betas. Android bündelt Anrufe: Googles Telefon‑App zeigt künftig auch VoIP‑Anrufe aus WhatsApp und anderen Diensten an. Google räumt das auf. Die Android-Telefon-App ...
Kommentar veröffentlichen
Mehr lesen »

Das Dilemma der Stärke: Warum Deutschlands Pläne für die „stärkste Armee Europas“ in Paris und Warschau Skepsis auslösen

Von Jonas
Die stärkste konventionelle Armee Europas. Das ist der Anspruch, den Deutschland seit der Zeitenwende formuliert: laut, wiederholt, mit Sondervermögen, Beschaffungsprogrammen und einer strategischen Neuausrichtung der Bundeswehr, die ihresgleichen in der Nachkriegsgeschichte sucht. F-35, schwere Transporthubschrauber, Munition, Luftverteidigung. Eine Armee, die einsatzbereit, bündnisfähig und abschreckungsfähig sein soll. JZ-Überblick (Kurz und knackig): Deutschland will die Bundeswehr zur „stärksten konventionellen Armee Europas“ ausbauen. In Frankreich wächst die Sorge, Deutschland könne militärisch zu dominant werden. Polen stellt Fragen zur Führungsrolle in Europa : begrüßt aber gleichzeitig Deutschlands Aufrüstung. Der Ukraine‑Krieg hat die Machtbalance in Europa verschoben: Berlin wird sicherheitspolitisch zentraler. Europas Partner fordern Transparenz, Verlässlichkeit und langfristige Strategie von Deutschland. Bundeswehr im Fokus: Deutschlands Pläne für eine stärkere Arme...
Kommentar veröffentlichen
Mehr lesen »

Hardware fertig, Siri fehlt: Warum Apple TV und HomePod mini auf die KI-Revolution warten

Von Jonas
Der neue Apple TV 4K liegt in Cupertino in den Schubladen. Mitarbeitende nutzen ihn bereits im Alltag. Trotzdem steht er nicht im Regal: und wird es nicht, bis die neue KI-Siri und Apple Intelligence offiziell starten. Dasselbe gilt für den neuen HomePod mini. JZ-Überblick (Kurz und knackig): Neues Apple TV 4K und neuer HomePod mini sind hardwareseitig fertig , werden intern bei Apple bereits genutzt. Marktstart ist für Herbst 2026 geplant : gemeinsam mit der neuen KI‑Siri und „Apple Intelligence“ (iOS/tvOS/HomePod‑Updates). Apple TV: A17‑Pro‑Chip + N1‑Funkchip für Wi‑Fi 7, Bluetooth 6 und Thread: mehr Leistung, mehr Smart‑Home‑Kompetenz. HomePod mini: neuer S9‑Chip (oder neuer) , besser für KI‑Siri, teils lokale Verarbeitung, besserer Klang und moderne Funkstandards. Design bleibt weitgehend gleich : der große Unterschied spielt sich „unter der Haube“ ab: Chips, KI, Netzwerk. Apple rüstet nach: Die neue Generation von Apple TV und HomePod mini soll hardwareseitig bereits fertig sein...
Kommentar veröffentlichen
Mehr lesen »

Google Gemini for Home startet in Deutschland: Das musst du zum KI-Upgrade wissen

Von Jonas
Zehn Jahre lang war der Google Assistant das Sprachinterface im Wohnzimmer. Man sprach Befehle, er führte sie aus. Licht an, Musik ab, Timer auf fünf Minuten. Das funktionierte, in dem Rahmen, den man sich abgewöhnt hatte zu hinterfragen. Jetzt startet Gemini for Home in Deutschland als Early Access, und der Countdown für den Assistant läuft. JZ-Überblick (Kurz und knackig): Gemini für Google Home ist jetzt in Deutschland als Early Access verfügbar und ersetzt schrittweise den Google Assistant. Start über die Google‑Home‑App: Ein Einladungsbanner erlaubt den Wechsel: der Rollout erfolgt in Wellen, nicht auf allen Konten gleichzeitig. Alle Google‑Smart‑Speaker, Displays und viele Kameras der letzten zehn Jahre sollen das Upgrade auf Gemini for Home bekommen. Assistant geht, Gemini bleibt: Der klassische Google Assistant läuft nicht mehr lange, dann ist endgültig Schluss. Basis kostenlos, Extras im Abo: Gemini for Home ist in der Grundversion gratis, erweiterte Funktionen kommen übe...
Kommentar veröffentlichen
Mehr lesen »