Dunia keamanan siber kembali dihebohkan dengan munculnya teknik serangan baru bernama HTTP/2 Bomb. Serangan ini memungkinkan penyerang melumpuhkan web server hanya dengan mengirimkan lalu lintas data yang relatif kecil, namun menghasilkan beban pemrosesan yang sangat besar di sisi server.
Apa Itu HTTP/2?
HTTP/2 adalah versi modern dari protokol HTTP yang digunakan oleh sebagian besar website saat ini. Dibandingkan HTTP/1.1, HTTP/2 menawarkan berbagai peningkatan performa seperti:
- Multiplexing (banyak request dalam satu koneksi)
- Kompresi header
- Prioritas stream
- Efisiensi penggunaan bandwidth
Namun, kompleksitas fitur-fitur tersebut juga membuka peluang munculnya teknik serangan baru.
Cara Kerja HTTP/2 Bomb
HTTP/2 Bomb memanfaatkan fitur-fitur HTTP/2 untuk menciptakan efek amplifikasi resource.
Secara sederhana:
- Penyerang mengirimkan data dalam jumlah kecil.
- Server dipaksa melakukan pemrosesan dalam jumlah sangat besar.
- CPU, RAM, dan worker process menjadi penuh.
- Website melambat atau bahkan tidak dapat diakses.
Berbeda dengan DDoS tradisional yang membutuhkan bandwidth besar, HTTP/2 Bomb lebih berfokus pada menguras sumber daya internal server.
Serangan ini dianggap sebagai evolusi dari beberapa teknik serangan HTTP/2 yang pernah ditemukan sebelumnya, seperti Rapid Reset (CVE-2023-44487) dan Continuation Flood. Rapid Reset memanfaatkan pembukaan dan pembatalan stream secara berulang untuk membebani server, sedangkan Continuation Flood memaksa server menyimpan header dalam jumlah besar hingga kehabisan memori. HTTP/2 Bomb mengembangkan konsep tersebut menjadi serangan yang lebih efisien dalam menguras sumber daya target.
Yang membuat HTTP/2 Bomb berbahaya adalah biaya serangannya yang relatif murah. Jika serangan DDoS konvensional sering membutuhkan bandwidth puluhan hingga ratusan Gbps, HTTP/2 Bomb dapat memberikan dampak yang sama dengan trafik yang jauh lebih kecil. Dengan kata lain, penyerang tidak perlu memiliki infrastruktur besar untuk menyebabkan gangguan layanan.
Sistem yang Berpotensi Terdampak
Hampir semua layanan yang mengaktifkan HTTP/2 berpotensi menjadi target, termasuk:
- Nginx
- Apache HTTP Server
- HAProxy
- Envoy Proxy
- API Gateway
- Load Balancer
- Aplikasi berbasis HTTP/2 lainnya
Risiko terbesar terdapat pada layanan publik yang langsung terhubung ke internet.
Tanda-Tanda Server Sedang Diserang
Beberapa gejala yang dapat muncul:
- Penggunaan CPU mendadak sangat tinggi
- Konsumsi RAM meningkat drastis
- Banyak koneksi HTTP/2 aktif
- Website menjadi lambat atau timeout
- Access log terlihat normal meskipun server mengalami beban tinggi
Karena karakteristiknya, serangan ini sering kali lebih sulit dideteksi dibandingkan DDoS tradisional.
Langkah Pengecekan dan Mitigasi
Berikut beberapa perintah yang dapat digunakan untuk memeriksa apakah server berpotensi terdampak serangan HTTP/2 Bomb.
Cek versi Nginx
nginx -v
Pastikan menggunakan versi terbaru yang telah menerima patch keamanan.
Cek versi Apache
apachectl -v
atau
httpd -v
Cek apakah HTTP/2 aktif di Nginx
nginx -T | grep http2
Contoh output:
listen 443 ssl http2;
Jika muncul http2, berarti layanan menggunakan HTTP/2.
Cek apakah HTTP/2 aktif di Apache
apachectl -M | grep http2
Contoh:
http2_module (shared)
Memantau penggunaan CPU dan RAM
htop
atau
top
Jika saat serangan CPU tiba-tiba mencapai 100% dan banyak proses web server aktif, bisa menjadi indikasi adanya eksploitasi.
Melihat jumlah koneksi aktif
ss -ant
atau
ss -ant | wc -l
Untuk melihat jumlah koneksi yang sedang terhubung.
Melihat koneksi HTTP/HTTPS terbanyak berdasarkan IP
ss -tn state established '( sport = :443 )' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head
Output contoh:
523 192.168.1.10112 10.10.10.554 203.0.113.100
IP dengan jumlah koneksi tidak wajar perlu diperiksa lebih lanjut.
Memantau log secara realtime
Nginx:
tail -f /var/log/nginx/access.log
Apache:
tail -f /var/log/apache2/access.log
Membatasi jumlah stream HTTP/2 pada Nginx
Tambahkan pada blok http:
http2_max_concurrent_streams 128;
Lalu reload konfigurasi:
nginx -t && systemctl reload nginx
Menonaktifkan HTTP/2 sementara
Ubah:
listen 443 ssl http2;
menjadi:
listen 443 ssl;
Kemudian reload:
nginx -t && systemctl reload nginx
Kesimpulan
HTTP/2 Bomb menunjukkan bahwa ancaman modern tidak selalu bergantung pada besarnya bandwidth yang digunakan. Dengan memanfaatkan kelemahan desain atau implementasi protokol, penyerang dapat menciptakan efek amplifikasi yang mampu melumpuhkan server dalam waktu singkat.
Bagi system administrator, menjaga web server tetap terbarui, menerapkan pembatasan resource, dan memonitor lalu lintas HTTP/2 menjadi langkah penting untuk mengurangi risiko serangan jenis ini di masa depan.