Teknik Serangan DoS Terbaru: HTTP/2 Bomb
Siapa sangka, kemajuan teknologi AI bisa berdampak pada dunia keamanan siber? Peneliti dari Calif baru-baru ini mengungkapkan teknik baru untuk serangan denial-of-service (DoS) yang disebut HTTP/2 Bomb. Ternyata, dengan hanya menggunakan komputer sederhana dengan koneksi 100 Mbps, seorang penyerang bisa membuat server tumbang dalam hitungan detik!
Teknik canggih ini memanfaatkan dua metode serangan DoS yang sudah dikenal sebelumnya, yaitu HPACK compression amplification dan konsep Slowloris yang membuat server tidak bisa melepaskan sumber daya. Dengan menggabungkan kedua metode ini, HTTP/2 Bomb berhasil mengeksploitasi celah dalam pengaturan HTTP/2 yang memungkinkan permintaan kecil memanipulasi server untuk mengalokasikan memori yang besar.
Cara kerjanya cukup cerdik. Serangan ini membuat server web terjebak dalam reservasi memori yang besar hanya dengan mengirimkan sedikit data. Dengan mengambil keuntungan dari fitur dalam HTTP/2, permintaan kecil dapat berkembang menjadi volume data yang jauh lebih besar di sisi server, yang memaksa server untuk mengalokasikan lebih banyak memori.
Bukti Konsep Sudah Dirilis
Normalnya, setelah server memproses permintaan, memori tersebut akan dirilis. Namun, penyerang dapat tetap membuka koneksi itu tanpa batas waktu. Seiring dengan bertambahnya permintaan berbahaya, penggunaan memori meningkat drastis, membuat server melambat hingga akhirnya mengalami crash.
Peneliti dari Calif menyebutkan bahwa teknik ini efektif pada pengaturan HTTP/2 di beberapa server web utama seperti NGINX, Apache HTTP Server, Microsoft IIS, Envoy, dan Cloudflare Pingora. EFEK dari serangan ini sudah dirasakan luas, dan beberapa penyedia layanan telah merilis patch untuk melindungi sistem mereka, sedangkan yang lainnya masih rentan.
Menurut CyberInsider, produk yang terdampak “menggerakkan sebagian besar web,” menunjukkan bahwa resiko serangan ini sangat signifikan. “Komputer rumah dengan koneksi 100 Mbps bisa membuat server yang rentan tidak dapat diakses hanya dalam hitungan detik. Terhadap Apache httpd dan Envoy, satu klien saja bisa menggunakan dan menyimpan 32GB memori server dalam waktu sekitar 20 detik,” ujar para peneliti.
Sayangnya, pertahanan yang ada saat ini tidak cukup melawan HTTP/2 Bomb. Misalnya, batasan pada total ukuran header decoder tidak efektif karena nilai header yang digunakan dalam serangan ini sangat kecil. Rincian teknis mengenai teknik ini akan dirilis di akhir bulan ini, tetapi Calif sudah merilis bukti-konsep (PoC) yang dapat dilihat publik.
Dengan trend serangan siber yang terus berkembang, penting bagi semua pemilik dan pengelola server untuk selalu memperbarui dan memantau konfigurasi server mereka demi keamanan. Koneksi yang tidak aman bisa berakibat fatal bagi keberlangsungan operasional sebuah layanan online, jadi lebih baik waspada daripada menyesal!
