Luchd-rannsachaidh bho Oilthighean Hamburg agus Köln
dòigh ionnsaigh ùr air lìonraidhean lìbhrigidh susbaint agus proxies caching - (Cache-Poisoned Denial-of-Service). Tha an ionnsaigh a’ toirt cothrom air duilleag a dhiùltadh tro phuinnseanachadh tasgadan.
Tha an duilgheadas mar thoradh air gu bheil CDNs cache chan ann a-mhàin air iarrtasan a choileanadh gu soirbheachail, ach cuideachd suidheachaidhean nuair a thilleas am frithealaiche http mearachd. Mar riaghailt, ma tha duilgheadasan ann le bhith a’ cruthachadh iarrtasan, bidh am frithealaiche a’ cur a-mach mearachd 400 (Droch iarrtas); is e an aon eisgeachd IIS, a tha a’ toirt a-mach mearachd 404 (Cha deach a lorg) airson cinn ro mhòr. Chan eil an inbhe a’ ceadachadh ach mearachdan le còdan 404 (Cha deach a lorg), 405 (Modh Gun cheadachadh), 410 (Gone) agus 501 (Gun Buileachadh) a bhith air an tasgadh, ach bidh cuid de CDNn cuideachd a’ tasgadan freagairtean le còd 400 (Droch iarrtas), a tha an urra air an iarrtas a chaidh a chuir.
Faodaidh luchd-ionnsaigh toirt air a’ ghoireas tùsail mearachd “400 Bad Request” a thilleadh le bhith a’ cur iarrtas le cinn-cinn HTTP air an cruth ann an dòigh shònraichte. Chan eil an CDN a’ toirt aire do na cinn-cinn sin, agus mar sin thèid fiosrachadh mu neo-chomas faighinn chun duilleag a thasgadh, agus dh’ fhaodadh a h-uile iarrtas cleachdaiche dligheach eile mus tig an ùine seachad mearachd adhbhrachadh, a dh’ aindeoin gu bheil an làrach tùsail a’ frithealadh an t-susbaint gun duilgheadas sam bith.
Chaidh trì roghainnean ionnsaigh a mholadh gus toirt air an fhrithealaiche HTTP mearachd a thilleadh:
- HMO (HTTP Method Override) - faodaidh neach-ionnsaigh a dhol thairis air a’ mhodh tagraidh tùsail tro na cinn-cinn “X-HTTP-Method-Override”, “X-HTTP-Method” no “X-Method-Override”, le taic bho chuid de luchd-frithealaidh, ach nach deach a thoirt fa-near anns an CDN. Mar eisimpleir, faodaidh tu am modh tùsail “GET” atharrachadh gu modh “DELETE”, a tha toirmisgte air an t-seirbheisiche, no an dòigh “POST”, nach eil iomchaidh airson stats;
- HHO (HTTP Header Oversize) - faodaidh neach-ionnsaigh meud a’ chinn a thaghadh gus am bi e nas àirde na crìoch an fhrithealaiche stòr, ach nach eil e taobh a-staigh cuingealachaidhean CDN. Mar eisimpleir, tha Apache httpd a’ cuingealachadh meud cinn gu 8 KB, agus tha Amazon Cloudfront CDN a’ ceadachadh cinn-cinn suas gu 20 KB;
- HMC (HTTP Meta Character) - faodaidh neach-ionnsaigh caractaran sònraichte a chuir a-steach don iarrtas (\n, \ r, \a), a thathas a’ meas neo-dhligheach air an fhrithealaiche stòr, ach nach tèid an leigeil seachad san CDN.
B’ e an CDN CloudFront a chleachd Seirbheisean Lìn Amazon (AWS) an fheadhainn as buailtiche ionnsaigh a thoirt orra. Tha Amazon a-nis air an duilgheadas a shocrachadh le bhith a’ cur casg air tasgadh mhearachdan, ach thug e còrr is trì mìosan do luchd-rannsachaidh dìon a chur ris. Thug a’ chùis buaidh cuideachd air Cloudflare, Varnish, Akamai, CDN77 agus
Gu sgiobalta, ach tha an ionnsaigh troimhe cuingealaichte ri luchd-frithealaidh targaid a chleachdas IIS, ASP.NET, и . , gum faodadh 11% de raointean Roinn Dìon na SA, 16% de URLan bho stòr-dàta Tasglann HTTP agus timcheall air 30% de na prìomh làraich-lìn 500 air an rangachadh le Alexa a bhith fo ùmhlachd ionnsaigh.
Mar dhòigh-obrach gus casg a chuir air ionnsaigh air taobh na làraich, faodaidh tu an bann-cinn “Cache-Control: no-store” a chleachdadh, a chuireas casg air tasgadh freagairt. Ann an cuid de CDNn, m.e.
CloudFront agus Akamai, faodaidh tu tasgadh mearachd a chuir dheth aig ìre roghainnean pròifil. Airson dìon, faodaidh tu cuideachd ballachan-teine tagradh lìn (WAF, Balla-teine Iarrtas Lìn) a chleachdadh, ach feumaidh iad a bhith air an cur an gnìomh air taobh CDN air beulaibh an luchd-aoigheachd tasgadan.
Source: fosgailtenet.ru