Истражувачи од универзитетите во Хамбург и Келн
нова техника за напад на мрежи за испорака на содржина и прокси за кеширање - (Отруен со кеш, одбивање на услуга). Нападот овозможува да се одбие пристапот до страницата преку труење со кеш.
Проблемот се должи на фактот што CDN-овите кешираат не само успешно завршени барања, туку и ситуации кога http-серверот враќа грешка. Како по правило, ако има проблеми со формирање на барања, серверот издава грешка 400 (Лошо барање); единствениот исклучок е IIS, кој издава грешка 404 (Не е пронајден) за премногу големи заглавија. Стандардот дозволува да се кешираат само грешките со кодови 404 (Не е пронајден), 405 (Методот не е дозволен), 410 (Поминал) и 501 (Не е имплементиран), но некои CDN, исто така, кешираат одговори со код 400 (Лошо барање), што зависи на испратеното барање.
Напаѓачите може да предизвикаат оригиналниот ресурс да врати грешка „400 Bad Request“ со испраќање барање со HTTP заглавија форматирани на одреден начин. Овие заглавија не се земени предвид од ЦДН, така што информациите за неможноста за пристап до страницата ќе бидат кеширани, а сите други валидни кориснички барања пред истекот на истекувањето може да резултираат со грешка, и покрај фактот што оригиналната страница ја опслужува содржината без никакви проблеми.
Предложени се три опции за напад за да се принуди HTTP-серверот да врати грешка:
- HMO (HTTP Method Override) - напаѓачот може да го отфрли оригиналниот метод на барање преку заглавијата „X-HTTP-Method-Override“, „X-HTTP-Method“ или „X-Method-Override“, поддржани од некои сервери, но не се земени предвид во ЦДН . На пример, можете да го промените оригиналниот метод „GET“ во методот „DELETE“, кој е забранет на серверот, или методот „POST“, кој не е применлив за статика;
- HHO (HTTP Header Oversize) - напаѓачот може да ја избере големината на заглавието така што ќе ја надмине границата на изворниот сервер, но не спаѓа во ограничувањата на CDN. На пример, Apache httpd ја ограничува големината на заглавието на 8 KB, а Amazon Cloudfront CDN дозволува заглавија до 20 KB;
- HMC (HTTP мета карактер) - напаѓачот може да вметне специјални знаци во барањето (\n, \r, \a), кои се сметаат за неважечки на изворниот сервер, но се игнорираат во CDN.
Најподложен на напад беше CloudFront CDN што го користат Amazon Web Services (AWS). Амазон сега го реши проблемот со оневозможување на кеширање на грешки, но на истражувачите им требаа повеќе од три месеци да додадат заштита. Проблемот влијаеше и на Cloudflare, Varnish, Akamai, CDN77 и
Брзо, но нападот преку нив е ограничен на целните сервери кои користат IIS, ASP.NET, и . , дека 11% од домените на Министерството за одбрана на САД, 16% од URL-адресите од базата на податоци на архивата HTTP и околу 30% од топ 500 веб-локации рангирани од Alexa потенцијално би можеле да бидат предмет на напад.
Како решение за блокирање на напад на страната на страницата, можете да го користите заглавието „Cache-Control: no-store“, кое забранува кеширање на одговор. Во некои ЦДН, на пр.
CloudFront и Akamai, можете да го оневозможите кеширањето на грешки на ниво на поставки на профилот. За заштита, можете да користите и заштитни ѕидови на веб-апликации (WAF, огнен ѕид на веб-апликации), но тие мора да се имплементираат на страната CDN пред хостовите за кеширање.
Извор: opennet.ru