Mga tigdukiduki gikan sa Unibersidad sa Hamburg ug Cologne
usa ka bag-ong teknik sa pag-atake sa mga network sa paghatud sa sulud ug mga proxy sa pag-cache - (Cache-Poisoned Denial-of-Service). Gitugotan sa pag-atake ang pag-access sa usa ka panid nga ihikaw pinaagi sa pagkahilo sa cache.
Ang problema tungod sa kamatuoran nga ang mga cache sa CDN dili lamang malampuson nga nakompleto ang mga hangyo, apan usab mga sitwasyon kung ang http server nagbalik sa usa ka sayup. Ingon sa usa ka lagda, kung adunay mga problema sa pagporma sa mga hangyo, ang server nag-isyu og 400 (Bad Request) nga sayop; ang bugtong eksepsiyon mao ang IIS, nga nag-isyu og 404 (Not Found) nga sayop alang sa dako kaayo nga mga header. Gitugotan lamang sa sumbanan ang mga sayup nga adunay mga code nga 404 (Dili Makita), 405 (Dili Gitugotan ang Pamaagi), 410 (Nawala) ug 501 (Wala Gipatuman) nga ma-cache, apan ang pipila nga mga CDN nag-cache usab sa mga tubag nga adunay code 400 (Bad Request), nga nagdepende. sa gipadala nga hangyo.
Ang mga tig-atake mahimong hinungdan sa orihinal nga kapanguhaan nga ibalik ang usa ka "400 Bad Request" nga sayup pinaagi sa pagpadala usa ka hangyo nga adunay mga header sa HTTP nga giporma sa usa ka piho nga paagi. Kini nga mga ulohan wala gikonsiderar sa CDN, busa ang kasayuran bahin sa kawalay katakus sa pag-access sa panid ma-cache, ug ang tanan nga uban pang balido nga mga hangyo sa tiggamit sa wala pa matapos ang oras mahimong moresulta sa usa ka sayup, bisan pa sa kamatuoran nga ang orihinal nga site nagsilbi sa sulud. walay problema.
Tulo ka mga kapilian sa pag-atake ang gisugyot aron pugson ang HTTP server nga ibalik ang usa ka sayup:
- HMO (HTTP Method Override) - ang usa ka tig-atake mahimong ma-override ang orihinal nga paagi sa paghangyo pinaagi sa "X-HTTP-Method-Override", "X-HTTP-Method" o "X-Method-Override" nga mga header, gisuportahan sa pipila ka mga server, apan wala gikonsiderar sa CDN. Pananglitan, mahimo nimong usbon ang orihinal nga "GET" nga pamaagi sa "DELETE" nga pamaagi, nga gidili sa server, o ang "POST" nga pamaagi, nga dili magamit sa statics;
- HHO (HTTP Header Oversize) - ang usa ka tig-atake makapili sa gidak-on sa header aron kini molapas sa limitasyon sa source server, apan dili masulod sa CDN restrictions. Pananglitan, ang Apache httpd naglimite sa gidak-on sa header ngadto sa 8 KB, ug ang Amazon Cloudfront CDN nagtugot sa mga header hangtod sa 20 KB;
- HMC (HTTP Meta Character) - ang usa ka tig-atake mahimong mag-insert sa mga espesyal nga karakter sa hangyo (\n, \r, \a), nga giisip nga dili balido sa gigikanan nga server, apan wala tagda sa CDN.
Ang labing daling maatake mao ang CloudFront CDN nga gigamit sa Amazon Web Services (AWS). Giayo na karon sa Amazon ang problema pinaagi sa pag-disable sa error caching, apan gikuha sa mga tigdukiduki ang sobra sa tulo ka bulan aron madugangan ang proteksyon. Ang isyu nakaapekto usab sa Cloudflare, Varnish, Akamai, CDN77 ug
Dali, apan ang pag-atake pinaagi kanila limitado sa target nga mga server nga naggamit sa IIS, ASP.NET, и . , nga ang 11% sa US Department of Defense domains, 16% sa mga URL gikan sa HTTP Archive database ug mga 30% sa pinakataas nga 500 ka mga website nga giranggo ni Alexa posibleng maataki.
Isip usa ka workaround aron babagan ang pag-atake sa kilid sa site, mahimo nimong gamiton ang "Cache-Control: no-store" header, nga nagdili sa pagtubag sa cache. Sa pipila ka mga CDN, e.g.
CloudFront ug Akamai, mahimo nimong i-disable ang error caching sa lebel sa mga setting sa profile. Alang sa pagpanalipod, mahimo usab nimo gamiton ang mga firewall sa web application (WAF, Web Application Firewall), apan kinahanglan kini ipatuman sa kilid sa CDN sa atubangan sa mga host sa caching.
Source: opennet.ru