Chèchè nan inivèsite Hamburg ak Kolòy
yon nouvo teknik atak sou rezo livrezon kontni ak proxy kachèt - (Kachèt-anpwazonnen refi-of-sèvis). Atak la pèmèt aksè nan yon paj yo dwe refize atravè anpwazònman kachèt.
Pwoblèm nan se akòz lefèt ke CDNs kachèt pa sèlman ranpli avèk siksè demann, men tou sitiyasyon lè sèvè a http retounen yon erè. Kòm yon règ, si gen pwoblèm ak fòm demann, sèvè a bay yon erè 400 (Move Demann); sèl eksepsyon a se IIS, ki bay yon erè 404 (Pa jwenn) pou tèt ki twò gwo. Estanda a sèlman pèmèt erè ak kòd 404 (pa jwenn), 405 (metòd pa pèmèt), 410 (ale) ak 501 (pa aplike) yo kache, men kèk CDN yo kache repons tou ak kòd 400 (move demann), ki depann de. sou demann lan voye.
Atakè yo ka lakòz resous orijinal la retounen yon erè "400 Move Demann" lè yo voye yon demann ak tèt HTTP fòma nan yon sèten fason. Tèt sa yo pa pran an kont pa CDN a, kidonk enfòmasyon sou enkapasite pou jwenn aksè nan paj la pral nan kachèt, ak tout lòt demann itilizatè valab anvan tan an ekspire ka lakòz yon erè, malgre lefèt ke sit orijinal la sèvi kontni an. san okenn pwoblèm.
Twa opsyon atak yo te pwopoze pou fòse sèvè HTTP a retounen yon erè:
- HMO (HTTP Method Override) - yon atakè ka pase sou tèt metòd demann orijinal la atravè "X-HTTP-Method-Override", "X-HTTP-Method" oswa "X-Method-Override", ki sipòte pa kèk sèvè, men pa pran an kont nan CDN la. Pou egzanp, ou ka chanje metòd orijinal "GET" nan metòd "DELETE", ki entèdi sou sèvè a, oswa metòd "POST", ki pa aplikab pou estatik;
- HHO (HTTP Header Oversize) - yon atakè ka chwazi gwosè header la pou li depase limit sèvè sous la, men li pa tonbe nan restriksyon CDN yo. Pou egzanp, Apache httpd limite gwosè header a 8 KB, ak Amazon Cloudfront CDN pèmèt headers jiska 20 KB;
- HMC (HTTP Meta Character) - yon atakè ka mete karaktè espesyal nan demann lan (\n, \r, \a), ki konsidere kòm valab sou sèvè sous la, men yo inyore nan CDN la.
Ki pi fasil pou atak la te CloudFront CDN ki te itilize pa Amazon Web Services (AWS). Amazon te kounye a ranje pwoblèm nan pa enfim erè kachèt, men li te pran chèchè plis pase twa mwa yo ajoute pwoteksyon. Pwoblèm nan tou afekte Cloudflare, Varnish, Akamai, CDN77 ak
Rapidman, men atak la atravè yo limite a sa sèlman sèvè sib ki sèvi ak IIS, ASP.NET, и . , ke 11% nan US Depatman Defans domèn, 16% nan URL ki soti nan baz done HTTP Achiv la ak apeprè 30% nan 500 tèt sit entènèt yo klase pa Alexa kapab potansyèlman sijè a atak.
Kòm yon solisyon pou bloke yon atak sou bò sit la, ou ka itilize header "Cache-Control: no-store", ki entèdi repons kachèt. Nan kèk CDN, pa egzanp.
CloudFront ak Akamai, ou ka enfim kachèt erè nan nivo paramèt pwofil la. Pou pwoteksyon, ou ka itilize tou pare-feu aplikasyon entènèt (WAF, pare-feu aplikasyon Web), men yo dwe aplike sou bò CDN la devan hôtes yo kachèt.
Sous: opennet.ru