Гамбург және Кельн университеттерінің зерттеушілері
мазмұнды жеткізу желілеріне және кэш проксилеріне шабуылдың жаңа әдісі - (Кэш-уланған қызмет көрсетуден бас тарту). Шабуыл кэшті улану арқылы бетке кіруге тыйым салуға мүмкіндік береді.
Мәселе CDN кэшінің сәтті аяқталған сұрауларды ғана емес, сонымен қатар http сервері қатені қайтаратын жағдайларға байланысты. Әдетте, сұрауларды қалыптастыруда ақаулар болса, сервер 400 (нашар сұраныс) қатесін шығарады; жалғыз ерекшелік IIS, ол тым үлкен тақырыптар үшін 404 (табылмады) қатесін береді. Стандарт тек 404 (табылмады), 405 (әдіс рұқсат етілмейді), 410 (өтті) және 501 (орындалмаған) кодтары бар қателерді кэштеуге рұқсат береді, бірақ кейбір CDNs сонымен қатар 400 коды бар (Жаман сұрау) жауаптарды кэштейді. жіберілген сұрау бойынша.
Шабуылшылар белгілі бір жолмен пішімделген HTTP тақырыптары бар сұрауды жіберу арқылы бастапқы ресурстың «400 қате сұрау» қатесін қайтаруына себеп болуы мүмкін. Бұл тақырыптар CDN арқылы есепке алынбайды, сондықтан бетке кіру мүмкін еместігі туралы ақпарат кэштеледі және күту уақыты біткенге дейінгі барлық басқа жарамды пайдаланушы сұраулары бастапқы сайт мазмұнға қызмет көрсететініне қарамастан қатеге әкелуі мүмкін. еш қиындықсыз.
HTTP серверін қатені қайтаруға мәжбүрлеу үшін шабуылдың үш нұсқасы ұсынылды:
- HMO (HTTP әдісін қайта анықтау) – шабуылдаушы бастапқы сұрау әдісін кейбір серверлер қолдайтын «X-HTTP-әдісі-қайта анықтау», «X-HTTP-әдісі» немесе «X-әдісі-қайта анықтау» тақырыптары арқылы қайта анықтай алады, бірақ CDN есепке алынбайды. Мысалы, бастапқы «GET» әдісін серверде тыйым салынған «DELETE» әдісіне немесе статика үшін қолданылмайтын «POST» әдісіне өзгертуге болады;
- HHO (HTTP Header Oversize) - шабуылдаушы тақырып өлшемін бастапқы сервер шегінен асатындай таңдай алады, бірақ CDN шектеулеріне жатпайды. Мысалы, Apache httpd тақырып өлшемін 8 КБ дейін шектейді, ал Amazon Cloudfront CDN 20 КБ дейінгі тақырыптарға рұқсат береді;
- HMC (HTTP Meta Character) - шабуылдаушы сұрауға (\n, \r, \a) арнайы таңбаларды кірістіре алады, олар бастапқы серверде жарамсыз болып саналады, бірақ CDN-де еленбейді.
Шабуылға ең сезімтал Amazon Web Services (AWS) пайдаланатын CloudFront CDN болды. Amazon қазір қателерді кэштеуді өшіру арқылы мәселені шешті, бірақ қорғауды қосу үшін зерттеушілерге үш айдан астам уақыт қажет болды. Мәселе Cloudflare, Varnish, Akamai, CDN77 және де әсер етті
Жылдам, бірақ олар арқылы шабуыл IIS, ASP.NET пайдаланатын мақсатты серверлермен шектеледі. и . , АҚШ Қорғаныс министрлігі домендерінің 11%-ы, HTTP мұрағатының дерекқорындағы URL мекенжайларының 16%-ы және Alexa рейтингіндегі ең жақсы 30 веб-сайттың шамамен 500%-ы шабуылға ұшырауы мүмкін.
Сайт жағындағы шабуылды блоктау үшін уақытша шешім ретінде жауап кэштеуіне тыйым салатын «Кэш-басқару: дүкен жоқ» тақырыбын пайдалануға болады. Кейбір CDN-де, мысалы.
CloudFront және Akamai, профиль параметрлері деңгейінде қателерді кэштеуді өшіруге болады. Қорғау үшін веб-бағдарлама брандмауэрлерін (WAF, Web Application Firewall) пайдалануға болады, бірақ олар CDN жағында кэштеу хосттарының алдында іске асырылуы керек.
Ақпарат көзі: opennet.ru