Ymchwilwyr o Brifysgolion Hamburg a Cologne
techneg ymosod newydd ar rwydweithiau darparu cynnwys a dirprwyon caching - (Gwrthodiad Gwasanaeth Cache-Wenwyn). Mae'r ymosodiad yn caniatáu mynediad i dudalen i gael ei wrthod trwy wenwyn cache.
Mae'r broblem oherwydd y ffaith bod storfa CDNs nid yn unig wedi cwblhau ceisiadau'n llwyddiannus, ond hefyd sefyllfaoedd pan fydd y gweinydd http yn dychwelyd gwall. Fel rheol, os oes problemau gyda ffurfio ceisiadau, mae'r gweinydd yn cyhoeddi gwall 400 (Cais Gwael); yr unig eithriad yw IIS, sy'n cyhoeddi gwall 404 (Heb ei ddarganfod) ar gyfer penawdau rhy fawr. Mae'r safon ond yn caniatáu i wallau gyda chodau 404 (Heb Ddarganfod), 405 (Dull Heb ei Ganiatáu), 410 (Wedi mynd) a 501 (Heb Weithredu) gael eu storio, ond mae rhai CDNs hefyd yn storio ymatebion gyda chod 400 (Cais Gwael), sy'n dibynnu ar y cais a anfonwyd.
Gall ymosodwyr achosi i'r adnodd gwreiddiol ddychwelyd gwall “400 Cais Gwael” trwy anfon cais gyda phenawdau HTTP wedi'u fformatio mewn ffordd benodol. Nid yw'r penawdau hyn yn cael eu hystyried gan y CDN, felly bydd gwybodaeth am yr anallu i gael mynediad i'r dudalen yn cael ei storio, a gall pob cais defnyddiwr dilys arall cyn i'r terfyn amser ddod i ben arwain at wall, er gwaethaf y ffaith bod y wefan wreiddiol yn gwasanaethu'r cynnwys heb unrhyw broblemau.
Mae tri opsiwn ymosod wedi'u cynnig i orfodi'r gweinydd HTTP i ddychwelyd gwall:
- HMO (Diystyru Dull HTTP) - gall ymosodwr ddiystyru'r dull cais gwreiddiol trwy'r penawdau "X-HTTP-Method-Override", "X-HTTP-Method" neu "X-Method-Override", a gefnogir gan rai gweinyddwyr, ond heb ei gymryd i ystyriaeth yn y CDN . Er enghraifft, gallwch newid y dull “GET” gwreiddiol i'r dull “DELETE”, sy'n cael ei wahardd ar y gweinydd, neu'r dull “POST”, nad yw'n berthnasol ar gyfer statig;
- HHO (HTTP Header Oversize) - gall ymosodwr ddewis maint y pennawd fel ei fod yn fwy na therfyn y gweinydd ffynhonnell, ond nid yw'n dod o fewn cyfyngiadau CDN. Er enghraifft, mae Apache httpd yn cyfyngu maint y pennawd i 8 KB, ac mae Amazon Cloudfront CDN yn caniatáu penawdau hyd at 20 KB;
- HMC (HTTP Meta Cymeriad) - gall ymosodwr fewnosod nodau arbennig yn y cais (\n, \r, \a), a ystyrir yn annilys ar y gweinydd ffynhonnell, ond sy'n cael eu hanwybyddu yn y CDN.
Y mwyaf agored i ymosodiad oedd y CloudFront CDN a ddefnyddir gan Amazon Web Services (AWS). Mae Amazon bellach wedi datrys y broblem trwy analluogi caching gwall, ond fe gymerodd fwy na thri mis i ymchwilwyr ychwanegu amddiffyniad. Roedd y mater hefyd yn effeithio ar Cloudflare, Varnish, Akamai, CDN77 a
Yn gyflym, ond mae'r ymosodiad trwyddynt wedi'i gyfyngu i weinyddion targed sy'n defnyddio IIS, ASP.NET, и . , y gallai 11% o barthau Adran Amddiffyn yr UD, 16% o URLs o gronfa ddata Archif HTTP a thua 30% o'r 500 gwefan orau sydd wedi'u rhestru gan Alexa o bosibl fod yn destun ymosodiad.
Fel ateb i rwystro ymosodiad ar ochr y wefan, gallwch ddefnyddio'r pennawd “Cache-Control: no-store”, sy'n gwahardd caching ymateb. Mewn rhai CDNs, e.e.
CloudFront ac Akamai, gallwch analluogi caching gwall ar lefel gosodiadau proffil. Er mwyn amddiffyn, gallwch hefyd ddefnyddio waliau tân cymwysiadau gwe (WAF, Wal Dân Cais Gwe), ond rhaid eu gweithredu ar yr ochr CDN o flaen y gwesteiwyr caching.
Ffynhonnell: opennet.ru