Hanburgoko eta Koloniako Unibertsitateetako ikertzaileak
Eraso-teknika berri bat edukia bidaltzeko sareetan eta cachean gordetzeko proxyetan - (Cache-Pozoitutako Zerbitzuaren Ukapena). Erasoari esker, orrialde baterako sarbidea ukatu daiteke cachearen pozoitzearen bidez.
Arazoa da CDNek arrakastaz betetako eskaerak ez ezik, http zerbitzariak errore bat itzultzen duen egoerak ere gordetzen dituelako. Oro har, eskaerak osatzeko arazoak izanez gero, zerbitzariak 400 (Eskaera txarra) errorea igortzen du; Salbuespen bakarra IIS da, 404 (Ez aurkitu) errorea ematen duena goiburu handiegietarako. Estandarra 404 (Ez da aurkitu), 405 (Metodoa ez da onartzen), 410 (Gone) eta 501 (Ez da inplementatu) kodeak dituzten erroreak bakarrik gordetzea ahalbidetzen du, baina CDN batzuek 400 kodea duten erantzunak ere gordetzen dituzte (Eskaera txarra), eta horren araberakoa da. bidalitako eskaeran.
Erasotzaileek jatorrizko baliabideak "400 eskaera okerra" errorea itzultzea eragin dezakete HTTP goiburuak modu jakin batean formateatutako eskaera bat bidaliz. Goiburu hauek ez ditu CDNk kontuan hartzen, beraz, orrialdera sartzeko ezintasunari buruzko informazioa cachean gordeko da, eta baliozko beste erabiltzaile-eskaera guztiak denbora-muga iraungi baino lehen akats bat sor dezakete, jatorrizko guneak edukia hornitzen duen arren. arazorik gabe.
Hiru eraso-aukera proposatu dira HTTP zerbitzaria errore bat itzultzera behartzeko:
- HMO (HTTP Method Override) - erasotzaileak jatorrizko eskaera-metodoa gainidatzi dezake "X-HTTP-Method-Override", "X-HTTP-Method" edo "X-Method-Override" goiburuen bidez, zerbitzari batzuek onartzen dutena, baina ez dira kontuan hartu CDNn. Esaterako, jatorrizko “GET” metodoa alda dezakezu zerbitzarian debekatuta dagoen “DELETE” metodora edo “POST” metodoa, estatikorako aplikagarria ez dena;
- HHO (HTTP Header Oversize) - Erasotzaileak goiburuaren tamaina hauta dezake iturburuko zerbitzariaren muga gainditzeko, baina CDN-ren murrizketetan ez sartzeko. Adibidez, Apache httpd-k goiburuaren tamaina 8 KBra mugatzen du, eta Amazon Cloudfront CDN-k 20 KB arteko goiburuak onartzen ditu;
- HMC (HTTP Meta Karakterea) - erasotzaileak karaktere bereziak txerta ditzake eskaeran (\n, \r, \a), iturburu zerbitzarian baliogabetzat jotzen direnak, baina CDNn ez ikusiarena egiten direnak.
Erasorik jasangarriena Amazon Web Services-ek (AWS) erabilitako CloudFront CDN izan zen. Amazonek arazoa konpondu du akatsen cachea desgaituz, baina ikertzaileek hiru hilabete baino gehiago behar izan dituzte babesa gehitzeko. Arazoak Cloudflare, Varnish, Akamai, CDN77 eta
Azkar, baina haien bidezko erasoa IIS, ASP.NET, erabiltzen duten xede-zerbitzarietara mugatzen da. и . , AEBetako Defentsa Sailaren domeinuen % 11, HTTP Artxiboaren datu-baseko URLen % 16 eta Alexa-k sailkatutako 30 gune handienen % 500 inguru erasoak jasan ditzakete.
Gunearen aurkako eraso bat blokeatzeko konponbide gisa, "Cache-Control: dendarik gabeko" goiburua erabil dezakezu, erantzunen cachean gordetzea debekatzen duena. CDN batzuetan, adibidez.
CloudFront eta Akamai, erroreen cachea desgai dezakezu profilaren ezarpenen mailan. Babeserako, web aplikazioen suebakiak ere erabil ditzakezu (WAF, Web Application Firewall), baina CDN aldean inplementatu behar dira cacheko ostalarien aurrean.
Iturria: opennet.ru