ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > CDN ಮೂಲಕ ಒದಗಿಸಲಾದ ಪುಟಗಳು ಲಭ್ಯವಿಲ್ಲದಂತೆ ಮಾಡಲು CPDoS ದಾಳಿ

CDN ಮೂಲಕ ಒದಗಿಸಲಾದ ಪುಟಗಳು ಲಭ್ಯವಿಲ್ಲದಂತೆ ಮಾಡಲು CPDoS ದಾಳಿ

ಹ್ಯಾಂಬರ್ಗ್ ಮತ್ತು ಕಲೋನ್ ವಿಶ್ವವಿದ್ಯಾಲಯಗಳ ಸಂಶೋಧಕರು
ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ ವಿಷಯ ವಿತರಣಾ ನೆಟ್‌ವರ್ಕ್‌ಗಳು ಮತ್ತು ಕ್ಯಾಶಿಂಗ್ ಪ್ರಾಕ್ಸಿಗಳ ಮೇಲೆ ಹೊಸ ದಾಳಿ ತಂತ್ರ - CPDoS (ಸಂಗ್ರಹ-ವಿಷಪೂರಿತ ಸೇವೆಯ ನಿರಾಕರಣೆ). ದಾಳಿಯು ಸಂಗ್ರಹ ವಿಷದ ಮೂಲಕ ಪುಟಕ್ಕೆ ಪ್ರವೇಶವನ್ನು ನಿರಾಕರಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.

ಸಮಸ್ಯೆಯು CDN ಗಳ ಸಂಗ್ರಹವು ವಿನಂತಿಗಳನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಪೂರ್ಣಗೊಳಿಸುವುದಲ್ಲದೆ, http ಸರ್ವರ್ ದೋಷವನ್ನು ಹಿಂದಿರುಗಿಸಿದಾಗ ಸಂದರ್ಭಗಳನ್ನು ಸಹ ಹೊಂದಿದೆ. ನಿಯಮದಂತೆ, ವಿನಂತಿಗಳನ್ನು ರಚಿಸುವಲ್ಲಿ ಸಮಸ್ಯೆಗಳಿದ್ದರೆ, ಸರ್ವರ್ 400 (ಕೆಟ್ಟ ವಿನಂತಿ) ದೋಷವನ್ನು ನೀಡುತ್ತದೆ; ಕೇವಲ ಒಂದು ಅಪವಾದವೆಂದರೆ IIS, ಇದು ತುಂಬಾ ದೊಡ್ಡ ಹೆಡರ್‌ಗಳಿಗೆ 404 (ಕಂಡುಬಂದಿಲ್ಲ) ದೋಷವನ್ನು ನೀಡುತ್ತದೆ. ಸ್ಟ್ಯಾಂಡರ್ಡ್ 404 (ಕಂಡುಬಂದಿಲ್ಲ), 405 (ವಿಧಾನವನ್ನು ಅನುಮತಿಸಲಾಗಿಲ್ಲ), 410 (ಗಾನ್) ಮತ್ತು 501 (ಅನುಷ್ಠಾನಗೊಳಿಸಲಾಗಿಲ್ಲ) ನೊಂದಿಗೆ ದೋಷಗಳನ್ನು ಮಾತ್ರ ಕ್ಯಾಶ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ, ಆದರೆ ಕೆಲವು CDN ಗಳು ಕೋಡ್ 400 (ಕೆಟ್ಟ ವಿನಂತಿ) ನೊಂದಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ಸಂಗ್ರಹಿಸುತ್ತವೆ. ಕಳುಹಿಸಿದ ವಿನಂತಿಯ ಮೇಲೆ.

ದಾಳಿಕೋರರು ನಿರ್ದಿಷ್ಟ ರೀತಿಯಲ್ಲಿ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾದ HTTP ಹೆಡರ್‌ಗಳೊಂದಿಗೆ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಮೂಲ ಸಂಪನ್ಮೂಲವು "400 ಕೆಟ್ಟ ವಿನಂತಿ" ದೋಷವನ್ನು ಹಿಂತಿರುಗಿಸಲು ಕಾರಣವಾಗಬಹುದು. ಈ ಹೆಡರ್‌ಗಳನ್ನು CDN ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳುವುದಿಲ್ಲ, ಆದ್ದರಿಂದ ಪುಟವನ್ನು ಪ್ರವೇಶಿಸಲು ಅಸಮರ್ಥತೆಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಸಮಯ ಮೀರುವ ಮೊದಲು ಎಲ್ಲಾ ಇತರ ಮಾನ್ಯ ಬಳಕೆದಾರ ವಿನಂತಿಗಳು ದೋಷಕ್ಕೆ ಕಾರಣವಾಗಬಹುದು, ಮೂಲ ಸೈಟ್ ವಿಷಯವನ್ನು ಪೂರೈಸುತ್ತದೆ ಎಂಬ ಅಂಶದ ಹೊರತಾಗಿಯೂ. ಯಾವುದೇ ಸಮಸ್ಯೆಗಳಿಲ್ಲದೆ.

ದೋಷವನ್ನು ಹಿಂತಿರುಗಿಸಲು HTTP ಸರ್ವರ್ ಅನ್ನು ಒತ್ತಾಯಿಸಲು ಮೂರು ದಾಳಿ ಆಯ್ಕೆಗಳನ್ನು ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ:

  • HMO (HTTP ವಿಧಾನ ಓವರ್‌ರೈಡ್) - ಆಕ್ರಮಣಕಾರರು ಮೂಲ ವಿನಂತಿ ವಿಧಾನವನ್ನು "X-HTTP-ವಿಧಾನ-ಅತಿಕ್ರಮಣ", "X-HTTP-ವಿಧಾನ" ಅಥವಾ "X-ವಿಧಾನ-ಅತಿಕ್ರಮಣ" ಹೆಡರ್‌ಗಳ ಮೂಲಕ ಅತಿಕ್ರಮಿಸಬಹುದು, ಆದರೆ ಕೆಲವು ಸರ್ವರ್‌ಗಳಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ. CDN ನಲ್ಲಿ ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಲಾಗಿಲ್ಲ. ಉದಾಹರಣೆಗೆ, ನೀವು ಮೂಲ "GET" ವಿಧಾನವನ್ನು "DELETE" ವಿಧಾನಕ್ಕೆ ಬದಲಾಯಿಸಬಹುದು, ಇದನ್ನು ಸರ್ವರ್‌ನಲ್ಲಿ ನಿಷೇಧಿಸಲಾಗಿದೆ ಅಥವಾ "POST" ವಿಧಾನ, ಇದು ಸ್ಟ್ಯಾಟಿಕ್ಸ್‌ಗೆ ಅನ್ವಯಿಸುವುದಿಲ್ಲ;

    CDN ಮೂಲಕ ಒದಗಿಸಲಾದ ಪುಟಗಳು ಲಭ್ಯವಿಲ್ಲದಂತೆ ಮಾಡಲು CPDoS ದಾಳಿ

  • HHO (HTTP ಹೆಡರ್ ಓವರ್‌ಸೈಜ್) - ಆಕ್ರಮಣಕಾರರು ಹೆಡರ್ ಗಾತ್ರವನ್ನು ಆಯ್ಕೆ ಮಾಡಬಹುದು ಇದರಿಂದ ಅದು ಮೂಲ ಸರ್ವರ್‌ನ ಮಿತಿಯನ್ನು ಮೀರುತ್ತದೆ, ಆದರೆ CDN ನಿರ್ಬಂಧಗಳೊಳಗೆ ಬರುವುದಿಲ್ಲ. ಉದಾಹರಣೆಗೆ, ಅಪಾಚೆ httpd ಹೆಡರ್ ಗಾತ್ರವನ್ನು 8 KB ಗೆ ಮಿತಿಗೊಳಿಸುತ್ತದೆ ಮತ್ತು Amazon Cloudfront CDN 20 KB ವರೆಗೆ ಹೆಡರ್‌ಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ;
    CDN ಮೂಲಕ ಒದಗಿಸಲಾದ ಪುಟಗಳು ಲಭ್ಯವಿಲ್ಲದಂತೆ ಮಾಡಲು CPDoS ದಾಳಿ

  • HMC (HTTP ಮೆಟಾ ಕ್ಯಾರೆಕ್ಟರ್) - ಆಕ್ರಮಣಕಾರರು ವಿನಂತಿಯಲ್ಲಿ ವಿಶೇಷ ಅಕ್ಷರಗಳನ್ನು ಸೇರಿಸಬಹುದು (\n, \r, \a), ಇವುಗಳನ್ನು ಮೂಲ ಸರ್ವರ್‌ನಲ್ಲಿ ಅಮಾನ್ಯವೆಂದು ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ, ಆದರೆ CDN ನಲ್ಲಿ ನಿರ್ಲಕ್ಷಿಸಲಾಗುತ್ತದೆ.

    CDN ಮೂಲಕ ಒದಗಿಸಲಾದ ಪುಟಗಳು ಲಭ್ಯವಿಲ್ಲದಂತೆ ಮಾಡಲು CPDoS ದಾಳಿ

ಅಮೆಜಾನ್ ವೆಬ್ ಸೇವೆಗಳು (AWS) ಬಳಸುವ ಕ್ಲೌಡ್‌ಫ್ರಂಟ್ ಸಿಡಿಎನ್ ದಾಳಿಗೆ ಹೆಚ್ಚು ಒಳಗಾಗುತ್ತದೆ. ಅಮೆಜಾನ್ ಈಗ ದೋಷ ಹಿಡಿದಿಟ್ಟುಕೊಳ್ಳುವಿಕೆಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವ ಮೂಲಕ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಿದೆ, ಆದರೆ ರಕ್ಷಣೆಯನ್ನು ಸೇರಿಸಲು ಸಂಶೋಧಕರಿಗೆ ಮೂರು ತಿಂಗಳಿಗಿಂತ ಹೆಚ್ಚು ಸಮಯ ತೆಗೆದುಕೊಂಡಿತು. ಸಮಸ್ಯೆಯು ಕ್ಲೌಡ್‌ಫ್ಲೇರ್, ವಾರ್ನಿಷ್, ಅಕಾಮೈ, ಸಿಡಿಎನ್ 77 ಮತ್ತು ಮೇಲೂ ಪರಿಣಾಮ ಬೀರಿತು
ವೇಗವಾಗಿ, ಆದರೆ ಅವುಗಳ ಮೂಲಕ ದಾಳಿಯು IIS, ASP.NET ಅನ್ನು ಬಳಸುವ ಗುರಿ ಸರ್ವರ್‌ಗಳಿಗೆ ಸೀಮಿತವಾಗಿದೆ, ಫ್ಲಾಸ್ಕ್ и 1 ಪ್ಲೇ. ಇದನ್ನು ಗಮನಿಸಲಾಗಿದೆ, US ಡಿಪಾರ್ಟ್‌ಮೆಂಟ್ ಆಫ್ ಡಿಫೆನ್ಸ್ ಡೊಮೇನ್‌ಗಳ 11%, HTTP ಆರ್ಕೈವ್ ಡೇಟಾಬೇಸ್‌ನಿಂದ 16% URL ಗಳು ಮತ್ತು ಅಲೆಕ್ಸಾದಿಂದ ಶ್ರೇಯಾಂಕ ಪಡೆದಿರುವ ಟಾಪ್ 30 ವೆಬ್‌ಸೈಟ್‌ಗಳಲ್ಲಿ ಸುಮಾರು 500% ಆಕ್ರಮಣಕ್ಕೆ ಒಳಗಾಗಬಹುದು.

ಸೈಟ್ ಭಾಗದಲ್ಲಿ ದಾಳಿಯನ್ನು ನಿರ್ಬಂಧಿಸಲು ಪರಿಹಾರವಾಗಿ, ನೀವು "ಸಂಗ್ರಹ-ನಿಯಂತ್ರಣ: ನೋ-ಸ್ಟೋರ್" ಹೆಡರ್ ಅನ್ನು ಬಳಸಬಹುದು, ಇದು ಪ್ರತಿಕ್ರಿಯೆ ಹಿಡಿದಿಟ್ಟುಕೊಳ್ಳುವುದನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ. ಕೆಲವು CDN ಗಳಲ್ಲಿ, ಉದಾ.
ಕ್ಲೌಡ್‌ಫ್ರಂಟ್ ಮತ್ತು ಅಕಾಮೈ, ನೀವು ಪ್ರೊಫೈಲ್ ಸೆಟ್ಟಿಂಗ್‌ಗಳ ಮಟ್ಟದಲ್ಲಿ ದೋಷ ಹಿಡಿದಿಟ್ಟುಕೊಳ್ಳುವಿಕೆಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು. ರಕ್ಷಣೆಗಾಗಿ, ನೀವು ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಫೈರ್‌ವಾಲ್‌ಗಳನ್ನು ಸಹ ಬಳಸಬಹುದು (WAF, ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಫೈರ್‌ವಾಲ್), ಆದರೆ ಅವುಗಳನ್ನು ಹಿಡಿದಿಟ್ಟುಕೊಳ್ಳುವ ಹೋಸ್ಟ್‌ಗಳ ಮುಂದೆ CDN ಭಾಗದಲ್ಲಿ ಅಳವಡಿಸಬೇಕು.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ