Hamburgo ir Kelno universitetų mokslininkai
nauja atakos technika prieš turinio pristatymo tinklus ir talpyklos tarpinius serverius – (Talpyklos užnuodytas paslaugų atsisakymas). Ataka leidžia uždrausti prieigą prie puslapio užnuodijus talpyklą.
Problema kyla dėl to, kad CDN talpykloje saugo ne tik sėkmingai įvykdytas užklausas, bet ir situacijas, kai http serveris grąžina klaidą. Paprastai, jei kyla problemų formuojant užklausas, serveris pateikia 400 (Blogos užklausos) klaidą; vienintelė išimtis yra IIS, kuri išduoda 404 (Nerasta) klaidą esant per didelėms antraštėms. Standartas leidžia talpykloje saugoti tik klaidas, kurių kodai yra 404 (Nerastas), 405 (metodas neleidžiamas), 410 (Dingo) ir 501 (Neįgyvendintas), tačiau kai kurie CDN taip pat talpina atsakymus su kodu 400 (Bloga užklausa), kuris priklauso atsiųstame prašyme.
Užpuolikai gali priversti pradinį šaltinį grąžinti klaidą „400 Bad Request“, siųsdami užklausą su tam tikru būdu suformatuotomis HTTP antraštėmis. CDN neatsižvelgia į šias antraštes, todėl informacija apie negalėjimą pasiekti puslapio bus saugoma talpykloje, o visos kitos galiojančios vartotojo užklausos prieš pasibaigiant skirtajam laikui gali sukelti klaidą, nepaisant to, kad pradinė svetainė teikia turinį. be jokių problemų.
Siekiant priversti HTTP serverį grąžinti klaidą, buvo pasiūlytos trys atakos parinktys:
- HMO (HTTP metodo nepaisymas) – užpuolikas gali nepaisyti pradinio užklausos metodo naudodamas antraštes „X-HTTP-Method-Override“, „X-HTTP-Method“ arba „X-Method-Override“, palaikomas kai kurių serverių, tačiau CDN neatsižvelgta. Pavyzdžiui, galite pakeisti pradinį „GET“ metodą į „DELETE“, kuris yra draudžiamas serveryje, arba „POST“ metodą, kuris netaikomas statikai;
- HHO (HTTP Header Oversize) – užpuolikas gali pasirinkti antraštės dydį, kad jis viršytų šaltinio serverio limitą, bet nepatektų į CDN apribojimus. Pavyzdžiui, Apache httpd riboja antraštės dydį iki 8 KB, o Amazon Cloudfront CDN leidžia antraštes iki 20 KB;
- HMC (HTTP meta simbolis) – užpuolikas gali į užklausą įterpti specialiųjų simbolių (\n, \r, \a), kurie šaltinio serveryje laikomi negaliojančiais, tačiau CDN nepaisomi.
Labiausiai jautrus atakai buvo „CloudFront“ CDN, kurį naudojo „Amazon Web Services“ (AWS). Dabar „Amazon“ išsprendė problemą išjungdama klaidų kaupimą talpykloje, tačiau mokslininkams prireikė daugiau nei trijų mėnesių, kad pridėtų apsaugą. Problema taip pat paveikė „Cloudflare“, „Varnish“, „Akamai“, CDN77 ir
Greitai, bet ataka per juos apsiriboja tiksliniais serveriais, kurie naudoja IIS, ASP.NET, и . , kad 11 % JAV gynybos departamento domenų, 16 % URL iš HTTP archyvo duomenų bazės ir apie 30 % iš 500 didžiausių Alexa reitinguotų svetainių gali būti atakos objektas.
Norėdami blokuoti ataką svetainės pusėje, galite naudoti antraštę „Cache-Control: no-store“, kuri draudžia atsakymų kaupimą talpykloje. Kai kuriuose CDN, pvz.
„CloudFront“ ir „Akamai“ galite išjungti klaidų kaupimą talpykloje profilio nustatymų lygiu. Apsaugai taip pat galite naudoti žiniatinklio programų užkardas (WAF, Web Application Firewall), tačiau jos turi būti įdiegtos CDN pusėje prieš talpyklos pagrindinius kompiuterius.
Šaltinis: opennet.ru