የሃምቡርግ እና የኮሎኝ ዩኒቨርስቲዎች ተመራማሪዎች
ችግሩ ያለው የሲዲኤን መሸጎጫ ጥያቄዎችን በተሳካ ሁኔታ ማጠናቀቅ ብቻ ሳይሆን የ http አገልጋዩ ስህተት ሲመልስ ሁኔታዎችም ጭምር ነው. እንደ ደንቡ ፣ጥያቄዎችን በመቅረጽ ላይ ችግሮች ካሉ አገልጋዩ 400 (መጥፎ ጥያቄ) ስህተት ያወጣል ፣ ብቸኛው ልዩነት IIS ነው ፣ እሱም በጣም ትልቅ ለሆኑ አርዕስቶች 404 (አልተገኘም) ስህተት። መስፈርቱ የሚፈቅደው በኮዶች 404 (አልተገኘም)፣ 405 (ዘዴ አልተፈቀደም)፣ 410 (ጠፍቷል) እና 501 (አልተተገበረም) ብቻ ነው፣ ነገር ግን አንዳንድ ሲዲኤንዎች በኮድ 400 (መጥፎ ጥያቄ) የተሸጎጡ ምላሾችን ብቻ ነው የሚወስነው። በተላከው ጥያቄ ላይ.
አጥቂዎች በተወሰነ መንገድ ከተቀረጹ የኤችቲቲፒ ራስጌዎች ጋር ጥያቄን በመላክ የ "400 መጥፎ ጥያቄ" ስህተትን ኦርጅናሌ ሪሶርስ እንዲመልስ ሊያደርጉ ይችላሉ። እነዚህ ራስጌዎች በሲዲኤን ግምት ውስጥ አይገቡም, ስለዚህ ገጹን መድረስ አለመቻሉን የሚገልጽ መረጃ ይሸፈናል, እና ሁሉም ሌሎች ትክክለኛ የተጠቃሚ ጥያቄዎች ጊዜው ከማለፉ በፊት ስህተት ሊያስከትሉ ይችላሉ, ምንም እንኳን ዋናው ጣቢያ ይዘቱን የሚያገለግል ቢሆንም ያለ ምንም ችግር.
የኤችቲቲፒ አገልጋይ ስህተትን እንዲመልስ ለማስገደድ ሶስት የጥቃት አማራጮች ቀርበዋል።
- HMO (HTTP Method Override) - አጥቂው በአንዳንድ አገልጋዮች የሚደገፈውን በ"X-HTTP-Method-Override""X-HTTP-Method" ወይም "X-Method-Override" ራስጌዎች በኩል የመጀመሪያውን የጥያቄ ዘዴ መሻር ይችላል ነገር ግን በሲዲኤን ውስጥ ግምት ውስጥ አይገቡም . ለምሳሌ, የመጀመሪያውን "GET" ዘዴን ወደ "ሰርዝ" ዘዴ መቀየር ይችላሉ, በአገልጋዩ ላይ የተከለከለ, ወይም "POST" ዘዴ, ለስታስቲክስ የማይተገበር;
- HHO (HTTP Header Oversize) - አጥቂ ከምንጩ አገልጋይ ወሰን በላይ እንዲሆን የራስጌውን መጠን መምረጥ ይችላል ነገርግን በCDN ገደቦች ውስጥ አይወድቅም። ለምሳሌ፣ Apache httpd የራስጌውን መጠን ወደ 8 ኪባ ይገድባል፣ እና Amazon Cloudfront CDN ራስጌዎችን እስከ 20 ኪባ ይፈቅዳል።
- HMC (HTTP Meta Character) - አጥቂ ልዩ ቁምፊዎችን ወደ ጥያቄው (\n, \r, \a) ማስገባት ይችላል, በምንጭ አገልጋዩ ላይ ልክ ያልሆኑ ናቸው, ነገር ግን በሲዲኤን ውስጥ ችላ ተብለዋል.
ለጥቃት በጣም የተጋለጠው በአማዞን ድር አገልግሎቶች (AWS) ጥቅም ላይ የዋለው CloudFront CDN ነው። Amazon አሁን የስህተት መሸጎጫውን በማሰናከል ችግሩን አስተካክሎታል ነገርግን ተመራማሪዎች ጥበቃን ለመጨመር ከሶስት ወራት በላይ ፈጅቷል. ጉዳዩ በ Cloudflare፣ Varnish፣ Akamai፣ CDN77 እና ላይ ተጽዕኖ አሳድሯል።
በፍጥነት፣ ነገር ግን በእነሱ በኩል የሚደርሰው ጥቃት IISን፣ ASP.NETን፣ ለሚጠቀሙ ዒላማ አገልጋዮች የተገደበ ነው።
በጣቢያው በኩል የሚደርሰውን ጥቃት ለመግታት እንደ መፍትሄ፣ የምላሽ መሸጎጫን የሚከለክለውን “Cache-Control: no-store” የሚለውን ርዕስ መጠቀም ይችላሉ። በአንዳንድ ሲዲኤን፣ ለምሳሌ.
CloudFront እና Akamai፣ በመገለጫ ቅንጅቶች ደረጃ የስህተት መሸጎጫን ማሰናከል ይችላሉ። ለጥበቃ፣ የዌብ አፕሊኬሽን ፋየርዎል (WAF፣ Web Application Firewall) መጠቀምም ይችላሉ፣ ነገር ግን በሲዲኤን በኩል መሸጎጫ አስተናጋጆች ፊት ለፊት መተግበር አለባቸው።
ምንጭ: opennet.ru