د HTTP/2 Bomb خلاصه کولی شي چې لوی ویب سرورونه له کاره وباسي

د امنیت څېړونکو د خدمت انکار یو نوی برید پیژندلی چې د “HTTP/2 Bomb” په نوم یادیږي او کولی شي لوی ویب سرورونه په څو ثانیو کې له کاره وباسي ^[1].

دا خلاصه (vulnerability) ځکه چې د انټرنیټ د بنسټیزې инфраسټرکچر هدف ګرځي، خورا Kritikal ده. د سرورونو د ډیټا کمپریشن (compression) او د جریان کنټرول (flow control) د مدیریت طریقې څخه په ګټه اخیستلو سره، برید کوونکي کولی شي یو سیسټم د کمپیوټرونو د لوی botnet اړتیا پرته له کاره وباسي.

دا برید څو پراخو کارول شویو ویب سرورونو ته هدف کیږي، چې په کې NGINX، Apache، IIS، Envoy او Cloudflare شامل دي ^[1], ^[2]. دا برید د دوو پېژندل شویو د خدمت انکار تخنیکونو د یوځای کولو له لارې کار کوي: د HPACK header compression او HTTP/2 flow-control ناوړه ګټه اخیستنه ^[1], ^[3]. دا ترکیب سرور مجبوروي چې د یوې داسې غوښتنې (request) لپاره خورا زیات مقدار حافظه (memory) تخصیص کړي چې په حقیقت کې یې پروسس کول نشته.

څېړونکو ویل چې یو واحد client کولی شي سرور مجبور کړي تر 32 GB پورې حافظه تخصیص کړي ^[1]. د حافظې دا خالي کېدل یا مصرف کېدل تقریباً په 20 ثانیو کې پیل کیدی شي ^[1]. په ځینو مواردو کې، دا برید کولی شي یو ویب سرور یوازې په څو ثانیو کې له کاره وباسي ^[4].

ځکه چې دا برید د bandwidth saturation پر ځای د حافظې مصرف (memory exhaustion) باندې تمرکز کوي، نو د ট্রَفیک څارنې د تقلیدي وسیلو په وړاندې د موندلو خورا ستونزمن دی. سرور هڅه کوي چې د HTTP/2 protocol قوانینو ته عمل وکړي، مګر د غوښتنو ځانګړی ترتیب یو د سرچینې لوپ (resource loop) رامینځونه کوي چې ټول可用 RAM مصرفوي، چې په پایله کې یې سیسټم سمدستي له کاره {crash} کیږي.

څېړونکو دا خلاصه په جون 2026 کې وموندله ^[1], ^[4]. دوی ویل چې د HTTP/2 protocol وړتیا (efficiency) په دقیق ډول هغه څه دي چې دا برید د سرور د prestasi (performance) د کمولو یا بندولو لپاره ترې ګټه اخلي ^[3].