Undersikers fan de universiteiten fan Hamburch en Keulen
in nije oanfalstechnyk op netwurken foar levering fan ynhâld en caching proxy's - (Cache-fergiftige Denial-of-Service). De oanfal lit tagong ta in side wurde wegere troch cachefergiftiging.
It probleem komt troch it feit dat CDN's cache net allinich mei súkses foltôge oanfragen, mar ek situaasjes as de http-tsjinner in flater werombringt. As regel, as d'r problemen binne mei it foarmjen fan oanfragen, jout de tsjinner in flater fan 400 (Bad Request) út; de ienige útsûndering is IIS, dy't in 404 (Net fûn) flater útjout foar te grutte kopteksten. De standert lit allinich flaters mei koades 404 (Net Found), 405 (Metoade net tastien), 410 (Gone) en 501 (Net ymplementearre) wurde cache, mar guon CDNs ek cache antwurden mei koade 400 (Bad Request), dat hinget ôf fan op it ferstjoerde fersyk.
Oanfallers kinne feroarsaakje dat de oarspronklike boarne in flater "400 Bad Request" werombringt troch in fersyk te stjoeren mei HTTP-headers op in bepaalde manier opmakke. Dizze kopteksten wurde net yn rekken brocht troch de CDN, dus ynformaasje oer it ûnfermogen om tagong te krijen ta de side sil yn 't cache bewarre wurde, en alle oare jildige brûkersoanfragen foardat de time-out ferrint, kinne resultearje yn in flater, nettsjinsteande it feit dat de oarspronklike side de ynhâld tsjinnet sûnder problemen.
Trije oanfalopsjes binne foarsteld om de HTTP-tsjinner te twingen om in flater werom te jaan:
- HMO (HTTP Method Override) - in oanfaller kin de orizjinele fersykmetoade oerskriuwe fia de kopteksten "X-HTTP-Method-Override", "X-HTTP-Method" of "X-Method-Override", stipe troch guon servers, mar net yn rekken brocht yn it CDN. Jo kinne bygelyks de orizjinele "GET" metoade feroarje nei de "DELETE" metoade, dy't ferbean is op 'e tsjinner, of de "POST" metoade, dy't net fan tapassing is foar statyk;
- HHO (HTTP Header Oversize) - in oanfaller kin de kopgrutte selektearje, sadat it de limyt fan 'e boarnetsjinner grutter is, mar falt net binnen de CDN-beheinings. Bygelyks, Apache httpd beheint de koptekstgrutte nei 8 KB, en Amazon Cloudfront CDN lit kopteksten oant 20 KB;
- HMC (HTTP Meta Character) - in oanfaller kin spesjale tekens ynfoegje yn it fersyk (\n, \r, \a), dy't wurde beskôge as ûnjildich op de boarne tsjinner, mar wurde negearre yn it CDN.
De meast gefoelich foar oanfal wie de CloudFront CDN brûkt troch Amazon Web Services (AWS). Amazon hat it probleem no reparearre troch flater-caching út te skeakeljen, mar it duorre ûndersikers mear dan trije moannen om beskerming ta te foegjen. It probleem beynfloede ek Cloudflare, Varnish, Akamai, CDN77 en
Snel, mar de oanfal troch har is beheind ta doelservers dy't IIS, ASP.NET, и . , dat 11% fan 'e domeinen fan' e US Department of Defense, 16% fan URL's út 'e HTTP-argyf-database en sawat 30% fan' e top 500-websides ranglist troch Alexa mooglik ûnderwurpen wêze oan oanfal.
As in oplossing om in oanfal op 'e side te blokkearjen, kinne jo de koptekst "Cache-Control: no-store" brûke, dy't it caching fan antwurden ferbiedt. Yn guon CDN's, bgl.
CloudFront en Akamai kinne jo flatercaching útskeakelje op it nivo fan profylynstellingen. Foar beskerming kinne jo ek firewalls foar webapplikaasje brûke (WAF, Web Application Firewall), mar se moatte wurde ymplementearre oan 'e CDN-kant foar de caching-hosts.
Boarne: opennet.ru