Navorsers van die Universiteite van Hamburg en Keulen
'n nuwe aanvaltegniek op inhoudafleweringsnetwerke en kasgevolmagtigdes - (Cache-Poisoned Denial-of-Service). Die aanval laat toe dat toegang tot 'n bladsy deur kasvergiftiging geweier word.
Die probleem is te wyte aan die feit dat CDN's nie net suksesvol voltooide versoeke kas nie, maar ook situasies wanneer die http-bediener 'n fout terugstuur. As 'n reël, as daar probleme is met die vorming van versoeke, gee die bediener 'n 400 (Slegte Versoek)-fout uit; die enigste uitsondering is IIS, wat 'n 404 (Nie gevind nie)-fout vir te groot kopskrifte uitreik. Die standaard laat slegs toe dat foute met kodes 404 (nie gevind nie), 405 (metode nie toegelaat nie), 410 (weg) en 501 (nie geïmplementeer nie) gekas word, maar sommige CDN'e kas ook antwoorde met kode 400 (slegte versoek), wat afhang op die gestuurde versoek.
Aanvallers kan veroorsaak dat die oorspronklike hulpbron 'n "400 Bad Request"-fout stuur deur 'n versoek te stuur met HTTP-opskrifte wat op 'n sekere manier geformateer is. Hierdie opskrifte word nie deur die CDN in ag geneem nie, so inligting oor die onvermoë om toegang tot die bladsy te verkry, sal in die kas geberg word, en alle ander geldige gebruikerversoeke voor die uitteltyd verstryk kan 'n fout tot gevolg hê, ten spyte van die feit dat die oorspronklike webwerf die inhoud bedien sonder enige probleme.
Drie aanvalopsies is voorgestel om die HTTP-bediener te dwing om 'n fout terug te gee:
- HMO (HTTP Method Override) - 'n aanvaller kan die oorspronklike versoekmetode ignoreer deur die "X-HTTP-Method-Override", "X-HTTP-Method" of "X-Method-Override"-opskrifte, ondersteun deur sommige bedieners, maar nie in die CDN in ag geneem nie. Byvoorbeeld, jy kan die oorspronklike "GET"-metode verander na die "DELETE"-metode, wat op die bediener verbied is, of die "POST"-metode, wat nie van toepassing is vir statika nie;
- HHO (HTTP Header Oversize) - 'n aanvaller kan die kopgrootte so kies dat dit die limiet van die bronbediener oorskry, maar nie binne die CDN-beperkings val nie. Byvoorbeeld, Apache httpd beperk die kopgrootte tot 8 KB, en Amazon Cloudfront CDN laat opskrifte tot 20 KB toe;
- HMC (HTTP Meta Character) - 'n aanvaller kan spesiale karakters in die versoek invoeg (\n, \r, \a), wat as ongeldig op die bronbediener beskou word, maar in die CDN geïgnoreer word.
Die vatbaarste vir aanval was die CloudFront CDN wat deur Amazon Web Services (AWS) gebruik word. Amazon het nou die probleem opgelos deur foutkas te deaktiveer, maar dit het navorsers meer as drie maande geneem om beskerming by te voeg. Die probleem het ook Cloudflare, Varnish, Akamai, CDN77 en
Vinnig, maar die aanval deur hulle is beperk tot teikenbedieners wat IIS, ASP.NET, и . , dat 11% van die domeine van die Amerikaanse departement van verdediging, 16% van URL's van die HTTP-argiefdatabasis en ongeveer 30% van die top 500 webwerwe wat deur Alexa gerangskik is, moontlik onderhewig kan wees aan aanvalle.
As 'n oplossing om 'n aanval aan die werfkant te blokkeer, kan u die "Cache-Control: no-store"-kopskrif gebruik, wat reaksiekas verbied. In sommige CDN's, bv.
CloudFront en Akamai, jy kan foutkas op die profielinstellingsvlak deaktiveer. Vir beskerming kan jy ook webtoepassings-firewalls (WAF, Web Application Firewall) gebruik, maar hulle moet aan die CDN-kant voor die kasgashere geïmplementeer word.
Bron: opennet.ru