ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > በCDN በኩል የሚቀርቡ ገጾችን ተደራሽ እንዳይሆን የሚያደርግ የCPDoS ጥቃት

በCDN በኩል የሚቀርቡ ገጾችን ተደራሽ እንዳይሆን የሚያደርግ የCPDoS ጥቃት

የሃምቡርግ እና የኮሎኝ ዩኒቨርስቲዎች ተመራማሪዎች
የዳበረ በይዘት ማቅረቢያ አውታረ መረቦች እና መሸጎጫ ፕሮክሲዎች ላይ አዲስ የጥቃት ቴክኒክ - ሲፒዶኤስ (በመሸጎጫ-የተመረዘ የአገልግሎት መካድ)። ጥቃቱ የገጽ መዳረሻን በመሸጎጫ መርዝ መከልከል ያስችላል።

ችግሩ ያለው የሲዲኤን መሸጎጫ ጥያቄዎችን በተሳካ ሁኔታ ማጠናቀቅ ብቻ ሳይሆን የ http አገልጋዩ ስህተት ሲመልስ ሁኔታዎችም ጭምር ነው. እንደ ደንቡ ፣ጥያቄዎችን በመቅረጽ ላይ ችግሮች ካሉ አገልጋዩ 400 (መጥፎ ጥያቄ) ስህተት ያወጣል ፣ ብቸኛው ልዩነት IIS ነው ፣ እሱም በጣም ትልቅ ለሆኑ አርዕስቶች 404 (አልተገኘም) ስህተት። መስፈርቱ የሚፈቅደው በኮዶች 404 (አልተገኘም)፣ 405 (ዘዴ አልተፈቀደም)፣ 410 (ጠፍቷል) እና 501 (አልተተገበረም) ብቻ ነው፣ ነገር ግን አንዳንድ ሲዲኤንዎች በኮድ 400 (መጥፎ ጥያቄ) የተሸጎጡ ምላሾችን ብቻ ነው የሚወስነው። በተላከው ጥያቄ ላይ.

አጥቂዎች በተወሰነ መንገድ ከተቀረጹ የኤችቲቲፒ ራስጌዎች ጋር ጥያቄን በመላክ የ "400 መጥፎ ጥያቄ" ስህተትን ኦርጅናሌ ሪሶርስ እንዲመልስ ሊያደርጉ ይችላሉ። እነዚህ ራስጌዎች በሲዲኤን ግምት ውስጥ አይገቡም, ስለዚህ ገጹን መድረስ አለመቻሉን የሚገልጽ መረጃ ይሸፈናል, እና ሁሉም ሌሎች ትክክለኛ የተጠቃሚ ጥያቄዎች ጊዜው ከማለፉ በፊት ስህተት ሊያስከትሉ ይችላሉ, ምንም እንኳን ዋናው ጣቢያ ይዘቱን የሚያገለግል ቢሆንም ያለ ምንም ችግር.

የኤችቲቲፒ አገልጋይ ስህተትን እንዲመልስ ለማስገደድ ሶስት የጥቃት አማራጮች ቀርበዋል።

  • HMO (HTTP Method Override) - አጥቂው በአንዳንድ አገልጋዮች የሚደገፈውን በ"X-HTTP-Method-Override""X-HTTP-Method" ወይም "X-Method-Override" ራስጌዎች በኩል የመጀመሪያውን የጥያቄ ዘዴ መሻር ይችላል ነገር ግን በሲዲኤን ውስጥ ግምት ውስጥ አይገቡም . ለምሳሌ, የመጀመሪያውን "GET" ዘዴን ወደ "ሰርዝ" ዘዴ መቀየር ይችላሉ, በአገልጋዩ ላይ የተከለከለ, ወይም "POST" ዘዴ, ለስታስቲክስ የማይተገበር;

    በCDN በኩል የሚቀርቡ ገጾችን ተደራሽ እንዳይሆን የሚያደርግ የCPDoS ጥቃት

  • HHO (HTTP Header Oversize) - አጥቂ ከምንጩ አገልጋይ ወሰን በላይ እንዲሆን የራስጌውን መጠን መምረጥ ይችላል ነገርግን በCDN ገደቦች ውስጥ አይወድቅም። ለምሳሌ፣ Apache httpd የራስጌውን መጠን ወደ 8 ኪባ ይገድባል፣ እና Amazon Cloudfront CDN ራስጌዎችን እስከ 20 ኪባ ይፈቅዳል።
    በCDN በኩል የሚቀርቡ ገጾችን ተደራሽ እንዳይሆን የሚያደርግ የCPDoS ጥቃት

  • HMC (HTTP Meta Character) - አጥቂ ልዩ ቁምፊዎችን ወደ ጥያቄው (\n, \r, \a) ማስገባት ይችላል, በምንጭ አገልጋዩ ላይ ልክ ያልሆኑ ናቸው, ነገር ግን በሲዲኤን ውስጥ ችላ ተብለዋል.

    በCDN በኩል የሚቀርቡ ገጾችን ተደራሽ እንዳይሆን የሚያደርግ የCPDoS ጥቃት

ለጥቃት በጣም የተጋለጠው በአማዞን ድር አገልግሎቶች (AWS) ጥቅም ላይ የዋለው CloudFront CDN ነው። Amazon አሁን የስህተት መሸጎጫውን በማሰናከል ችግሩን አስተካክሎታል ነገርግን ተመራማሪዎች ጥበቃን ለመጨመር ከሶስት ወራት በላይ ፈጅቷል. ጉዳዩ በ Cloudflare፣ Varnish፣ Akamai፣ CDN77 እና ላይ ተጽዕኖ አሳድሯል።
በፍጥነት፣ ነገር ግን በእነሱ በኩል የሚደርሰው ጥቃት IISን፣ ASP.NETን፣ ለሚጠቀሙ ዒላማ አገልጋዮች የተገደበ ነው። ፋክስ и 1 ይጫወቱ. ይጠቀሳል11 በመቶው የአሜሪካ መከላከያ ዲፓርትመንት ጎራዎች፣ 16% ዩአርኤሎች ከኤችቲቲፒ ማህደር ዳታቤዝ እና 30% ያህሉ በአሌክሳ የተቀመጡ 500 ድረ-ገጾች ከፍተኛ ጥቃት ሊሰነዘርባቸው ይችላል።

በጣቢያው በኩል የሚደርሰውን ጥቃት ለመግታት እንደ መፍትሄ፣ የምላሽ መሸጎጫን የሚከለክለውን “Cache-Control: no-store” የሚለውን ርዕስ መጠቀም ይችላሉ። በአንዳንድ ሲዲኤን፣ ለምሳሌ.
CloudFront እና Akamai፣ በመገለጫ ቅንጅቶች ደረጃ የስህተት መሸጎጫን ማሰናከል ይችላሉ። ለጥበቃ፣ የዌብ አፕሊኬሽን ፋየርዎል (WAF፣ Web Application Firewall) መጠቀምም ይችላሉ፣ ነገር ግን በሲዲኤን በኩል መሸጎጫ አስተናጋጆች ፊት ለፊት መተግበር አለባቸው።

ምንጭ: opennet.ru

አስተያየት ያክሉ