ការវាយប្រហារ CPDoS ដើម្បីធ្វើឱ្យទំព័រដែលបម្រើតាមរយៈ CDN មិនអាចប្រើបាន

អ្នកស្រាវជ្រាវមកពីសាកលវិទ្យាល័យ Hamburg និង Cologne
អភិវឌ្ឍ បច្ចេកទេសវាយប្រហារថ្មីលើបណ្តាញចែកចាយមាតិកា និងប្រូកស៊ីឃ្លាំងសម្ងាត់ - CPDoS (Cache-Poisoned Denial-of-Service)។ ការវាយប្រហារអនុញ្ញាតឱ្យចូលទៅកាន់ទំព័រមួយដែលត្រូវបានបដិសេធតាមរយៈការពុលឃ្លាំងសម្ងាត់។

បញ្ហាគឺដោយសារតែការពិតដែលថាឃ្លាំងសម្ងាត់ CDNs មិនត្រឹមតែបំពេញសំណើដោយជោគជ័យប៉ុណ្ណោះទេ ប៉ុន្តែក៏មានស្ថានភាពនៅពេលដែលម៉ាស៊ីនមេ http ត្រឡប់កំហុស។ តាមក្បួនមួយ ប្រសិនបើមានបញ្ហាជាមួយការបង្កើតសំណើ នោះម៉ាស៊ីនមេចេញកំហុស 400 (សំណើមិនល្អ) ការលើកលែងតែមួយគត់គឺ IIS ដែលចេញកំហុស 404 (រកមិនឃើញ) សម្រាប់បឋមកថាធំពេក។ ស្តង់ដារអនុញ្ញាតតែកំហុសដែលមានលេខកូដ 404 (រកមិនឃើញ) 405 (វិធីសាស្ត្រមិនអនុញ្ញាត) 410 (លែង) និង 501 (មិនត្រូវបានអនុវត្ត) ដែលត្រូវបានទុកក្នុងឃ្លាំងសម្ងាត់ ប៉ុន្តែ CDNs មួយចំនួនក៏ផ្ទុកការឆ្លើយតបជាមួយលេខកូដ 400 (សំណើមិនល្អ) ដែលអាស្រ័យ នៅលើសំណើដែលបានផ្ញើ។

អ្នកវាយប្រហារអាចបណ្តាលឱ្យធនធានដើមត្រលប់មកវិញនូវកំហុស "400 Bad Request" ដោយផ្ញើសំណើជាមួយបឋមកថា HTTP ដែលធ្វើទ្រង់ទ្រាយតាមរបៀបជាក់លាក់មួយ។ បឋមកថាទាំងនេះមិនត្រូវបានយកមកពិចារណាដោយ CDN ទេ ដូច្នេះព័ត៌មានអំពីអសមត្ថភាពក្នុងការចូលប្រើទំព័រនេះនឹងត្រូវបានទុកក្នុងឃ្លាំងសម្ងាត់ ហើយសំណើរបស់អ្នកប្រើប្រាស់ដែលមានសុពលភាពផ្សេងទៀតទាំងអស់មុនពេលផុតកំណត់អាចបណ្តាលឱ្យមានកំហុស បើទោះបីជាគេហទំព័រដើមបម្រើខ្លឹមសារក៏ដោយ។ ដោយគ្មានបញ្ហា។

ជម្រើសវាយប្រហារចំនួនបីត្រូវបានស្នើឡើងដើម្បីបង្ខំម៉ាស៊ីនមេ HTTP ឱ្យត្រឡប់កំហុសមួយ៖

• HMO (HTTP Method Override) - អ្នកវាយប្រហារអាចបដិសេធវិធីសាស្ត្រសំណើដើមតាមរយៈ "X-HTTP-Method-Override", "X-HTTP-Method" ឬ "X-Method-Override" headers ដែលគាំទ្រដោយ servers មួយចំនួន ប៉ុន្តែ មិនត្រូវបានយកទៅក្នុងគណនី CDN ទេ។ ឧទាហរណ៍ អ្នកអាចផ្លាស់ប្តូរវិធីសាស្ត្រ "GET" ដើមទៅជាវិធីសាស្ត្រ "DELETE" ដែលត្រូវបានហាមឃាត់នៅលើម៉ាស៊ីនមេ ឬវិធីសាស្ត្រ "POST" ដែលមិនអាចអនុវត្តបានសម្រាប់ឋិតិវន្ត។
  

• HHO (HTTP Header Oversize) - អ្នកវាយប្រហារអាចជ្រើសរើសទំហំបឋមកថា ដូច្នេះវាលើសពីដែនកំណត់នៃម៉ាស៊ីនមេប្រភព ប៉ុន្តែមិនស្ថិតក្នុងការរឹតបន្តឹង CDN ទេ។ ឧទាហរណ៍ Apache httpd កំណត់ទំហំបឋមកថាដល់ 8 KB ហើយ Amazon Cloudfront CDN អនុញ្ញាតឱ្យបឋមកថារហូតដល់ 20 KB ។
  

• HMC (HTTP Meta Character) - អ្នកវាយប្រហារអាចបញ្ចូលតួអក្សរពិសេសទៅក្នុងសំណើ (\n, \r, \a) ដែលត្រូវបានចាត់ទុកថាមិនត្រឹមត្រូវនៅលើម៉ាស៊ីនមេប្រភព ប៉ុន្តែមិនត្រូវបានអើពើនៅក្នុង CDN ។
  

ភាពងាយរងគ្រោះបំផុតក្នុងការវាយប្រហារគឺ CloudFront CDN ដែលប្រើដោយ Amazon Web Services (AWS) ។ ឥឡូវនេះក្រុមហ៊ុន Amazon បានដោះស្រាយបញ្ហាដោយបិទឃ្លាំងសម្ងាត់កំហុស ប៉ុន្តែវាបានចំណាយពេលអ្នកស្រាវជ្រាវច្រើនជាងបីខែដើម្បីបន្ថែមការការពារ។ បញ្ហានេះក៏បានប៉ះពាល់ដល់ Cloudflare, Varnish, Akamai, CDN77 និង
យ៉ាងឆាប់រហ័ស ប៉ុន្តែការវាយប្រហារតាមរយៈពួកវាត្រូវបានកំណត់ចំពោះម៉ាស៊ីនមេគោលដៅដែលប្រើ IIS, ASP.NET, Flask и លេង ២៤. វាត្រូវបានកត់សម្គាល់ថា 11% នៃដែនក្រសួងការពារជាតិសហរដ្ឋអាមេរិក 16% នៃ URLs ពីមូលដ្ឋានទិន្នន័យ HTTP Archive និងប្រហែល 30% នៃគេហទំព័រកំពូល 500 ដែលត្រូវបានចាត់ថ្នាក់ដោយ Alexa អាចជាកម្មវត្ថុនៃការវាយប្រហារ។

ក្នុងនាមជាដំណោះស្រាយដើម្បីទប់ស្កាត់ការវាយប្រហារនៅផ្នែកម្ខាងនៃគេហទំព័រ អ្នកអាចប្រើបឋមកថា "Cache-Control: no-store" ដែលហាមឃាត់ការរក្សាទុកការឆ្លើយតប។ នៅក្នុង CDNs មួយចំនួន ឧ.
CloudFront និង Akamai អ្នកអាចបិទដំណើរការឃ្លាំងសម្ងាត់កំហុសនៅកម្រិតការកំណត់ទម្រង់។ សម្រាប់ការការពារ អ្នកក៏អាចប្រើជញ្ជាំងភ្លើងកម្មវិធីបណ្តាញ (WAF, Web Application Firewall) ប៉ុន្តែពួកវាត្រូវតែអនុវត្តនៅផ្នែក CDN នៅពីមុខម៉ាស៊ីនផ្ទុកទិន្នន័យ។

ប្រភព: opennet.ru