CPDoS আক্রমণ যা CDN এর মাধ্যমে পরিবেশিত পৃষ্ঠাগুলিকে অ্যাক্সেসযোগ্য করে তোলে

হামবুর্গ এবং কোলন বিশ্ববিদ্যালয়ের গবেষকরা
উন্নত বিষয়বস্তু বিতরণ নেটওয়ার্ক এবং ক্যাশিং প্রক্সিগুলিতে একটি নতুন আক্রমণ কৌশল - CPDoS (ক্যাশে-বিষাক্ত অস্বীকৃতি-অফ-সার্ভিস)। আক্রমণটি ক্যাশে বিষক্রিয়ার মাধ্যমে একটি পৃষ্ঠায় অ্যাক্সেস অস্বীকার করার অনুমতি দেয়।

সমস্যাটি এই কারণে যে CDN গুলি শুধুমাত্র সফলভাবে সম্পন্ন করা অনুরোধগুলিই ক্যাশে করে না, কিন্তু সেই পরিস্থিতিতেও যখন HTTP সার্ভার একটি ত্রুটি ফেরত দেয়। একটি নিয়ম হিসাবে, অনুরোধগুলি গঠনে সমস্যা হলে, সার্ভার একটি 400 (খারাপ অনুরোধ) ত্রুটি জারি করে; একমাত্র ব্যতিক্রম হল IIS, যা খুব বড় শিরোনামের জন্য একটি 404 (না পাওয়া) ত্রুটি জারি করে৷ স্ট্যান্ডার্ড শুধুমাত্র কোড 404 (খুঁজে পাওয়া যায়নি), 405 (পদ্ধতি অনুমোদিত নয়), 410 (গিয়েছে) এবং 501 (বাস্তবায়িত নয়) ক্যাশে করার জন্য ত্রুটির অনুমতি দেয়, তবে কিছু CDN কোড 400 (খারাপ অনুরোধ) সহ প্রতিক্রিয়াগুলিও ক্যাশে করে যা নির্ভর করে প্রেরিত অনুরোধে।

আক্রমণকারীরা একটি নির্দিষ্ট উপায়ে ফর্ম্যাট করা HTTP শিরোনাম সহ একটি অনুরোধ পাঠিয়ে মূল সংস্থানটিকে একটি "400 খারাপ অনুরোধ" ত্রুটি ফিরিয়ে দিতে পারে৷ এই শিরোনামগুলি CDN দ্বারা বিবেচনা করা হয় না, তাই পৃষ্ঠাটি অ্যাক্সেস করতে অক্ষমতা সম্পর্কে তথ্য ক্যাশ করা হবে, এবং সময়সীমা শেষ হওয়ার আগে অন্য সমস্ত বৈধ ব্যবহারকারীর অনুরোধগুলি একটি ত্রুটির কারণ হতে পারে, যদিও আসল সাইটটি সামগ্রীটি পরিবেশন করে কোন সমস্যা ছাড়াই.

HTTP সার্ভারকে একটি ত্রুটি ফেরত দিতে বাধ্য করার জন্য তিনটি আক্রমণের বিকল্প প্রস্তাব করা হয়েছে:

• HMO (HTTP মেথড ওভাররাইড) - একজন আক্রমণকারী কিছু সার্ভার দ্বারা সমর্থিত "X-HTTP-Method-Override", "X-HTTP-Method" বা "X-Method-Override" শিরোনামের মাধ্যমে মূল অনুরোধের পদ্ধতিকে ওভাররাইড করতে পারে, কিন্তু CDN এ বিবেচনায় নেওয়া হয়নি। উদাহরণস্বরূপ, আপনি আসল "GET" পদ্ধতিটিকে "DELETE" পদ্ধতিতে পরিবর্তন করতে পারেন, যা সার্ভারে নিষিদ্ধ, অথবা "POST" পদ্ধতি, যা স্ট্যাটিক্সের জন্য প্রযোজ্য নয়;
  

• HHO (HTTP হেডার ওভারসাইজ) - একজন আক্রমণকারী হেডারের আকার নির্বাচন করতে পারে যাতে এটি সোর্স সার্ভারের সীমা অতিক্রম করে, কিন্তু CDN সীমাবদ্ধতার মধ্যে পড়ে না। উদাহরণস্বরূপ, Apache httpd হেডারের আকার 8 KB-তে সীমাবদ্ধ করে এবং Amazon Cloudfront CDN 20 KB পর্যন্ত হেডারের অনুমতি দেয়;
  

• HMC (HTTP মেটা ক্যারেক্টার) - একজন আক্রমণকারী অনুরোধে বিশেষ অক্ষর সন্নিবেশ করতে পারে (\n, \r, \a), যেগুলো উৎস সার্ভারে অবৈধ বলে বিবেচিত হয়, কিন্তু CDN-এ উপেক্ষা করা হয়।
  

অ্যামাজন ওয়েব সার্ভিসেস (AWS) দ্বারা ব্যবহৃত ক্লাউডফ্রন্ট সিডিএন আক্রমণের জন্য সবচেয়ে সংবেদনশীল। অ্যামাজন এখন ত্রুটি ক্যাশিং অক্ষম করে সমস্যার সমাধান করেছে, তবে সুরক্ষা যোগ করতে গবেষকদের তিন মাসেরও বেশি সময় লেগেছে। সমস্যাটি ক্লাউডফ্লেয়ার, বার্নিশ, আকামাই, সিডিএন 77 এবং কেও প্রভাবিত করেছে
দ্রুত, কিন্তু তাদের মাধ্যমে আক্রমণ টার্গেট সার্ভারের মধ্যে সীমাবদ্ধ যা IIS, ASP.NET, বোতল и 1 খেলুন. এটি লক্ষণীয়, যে ইউএস ডিপার্টমেন্ট অফ ডিফেন্স ডোমেনগুলির 11%, HTTP আর্কাইভ ডাটাবেস থেকে 16% URL এবং আলেক্সা দ্বারা র‌্যাঙ্ক করা 30টি বৃহত্তম সাইটের প্রায় 500% আক্রমণের শিকার হতে পারে৷

সাইটের দিকে আক্রমণকে ব্লক করার জন্য একটি সমাধান হিসাবে, আপনি "ক্যাশে-কন্ট্রোল: নো-স্টোর" শিরোনামটি ব্যবহার করতে পারেন, যা প্রতিক্রিয়া ক্যাশিংকে নিষিদ্ধ করে৷ কিছু CDN-এ, যেমন
CloudFront এবং Akamai, আপনি প্রোফাইল সেটিংস স্তরে ত্রুটি ক্যাশিং অক্ষম করতে পারেন। সুরক্ষার জন্য, আপনি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF, ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল) ব্যবহার করতে পারেন, তবে সেগুলি অবশ্যই ক্যাশিং হোস্টের সামনে CDN পাশে প্রয়োগ করতে হবে।

উত্স: opennet.ru