Гамбург, Кёльн хотын их сургуулийн судлаачид
контент хүргэх сүлжээ болон прокси кэш хийх шинэ халдлага техник - (Cache-Poisoned Deial-of-Service). Энэхүү халдлага нь кэшийг хордуулах замаар хуудас руу нэвтрэхийг хориглох боломжийг олгодог.
Асуудал нь CDN-ийн кэш нь зөвхөн амжилттай гүйцэтгэсэн хүсэлтүүд төдийгүй http сервер алдаа буцаах нөхцөл байдалтай холбоотой юм. Дүрмээр бол хүсэлт гаргахад асуудал гарвал сервер 400 (муу хүсэлт) алдаа гаргадаг; цорын ганц үл хамаарах зүйл бол хэт том толгойнуудад 404 (Одоогүй) алдаа гаргадаг IIS юм. Стандарт нь зөвхөн 404 (Одоогүй), 405 (Аргагүй), 410 (Алга болсон) болон 501 (Хэрэгжүүлээгүй) код бүхий алдааг санах ойд хадгалахыг зөвшөөрдөг боловч зарим CDN нь хариултыг 400 (Муу хүсэлт) кодтой кэш болгодог. илгээсэн хүсэлт дээр.
Халдагчид тодорхой хэлбэрээр форматлагдсан HTTP толгойтой хүсэлтийг илгээснээр эх сурвалжийг "400 муу хүсэлт" алдаа гаргахад хүргэж болно. CDN эдгээр гарчигуудыг анхаарч үздэггүй тул хуудас руу нэвтрэх боломжгүй байгаа талаарх мэдээллийг кэшлэх бөгөөд хугацаа дуусахаас өмнө бусад хүчинтэй хэрэглэгчийн хүсэлтүүд нь анхны сайт нь контентоор үйлчилдэг хэдий ч алдаа гаргаж болзошгүй. ямар ч асуудалгүй.
HTTP серверийг алдаа гаргахыг албадах гурван халдлагын сонголтыг санал болгосон:
- HMO (HTTP Method Override) - халдагчид зарим серверүүд дэмждэг "X-HTTP-Method-Override", "X-HTTP-Method" эсвэл "X-Method-Override" толгойгоор дамжуулан анхны хүсэлтийн аргыг хүчингүй болгож чадна, гэхдээ CDN-д тооцдоггүй. Жишээлбэл, та анхны "GET" аргыг сервер дээр хориглосон "DELETE" арга эсвэл статикт хамаарахгүй "POST" арга болгон өөрчилж болно;
- HHO (HTTP Header Oversize) - халдагчид толгойн хэмжээг сонгох боломжтой бөгөөд ингэснээр эх серверийн хязгаараас хэтэрсэн боловч CDN хязгаарлалтад багтахгүй. Жишээлбэл, Apache httpd нь толгойн хэмжээг 8 КБ хүртэл хязгаарладаг бол Amazon Cloudfront CDN нь 20 КБ хүртэл толгой хэсгийг зөвшөөрдөг;
- HMC (HTTP Meta Character) - халдагчид хүсэлтэд (\n, \r, \a) тусгай тэмдэгт оруулах боломжтой бөгөөд эдгээр тэмдэгтүүдийг эх сервер дээр хүчингүй гэж үздэг боловч CDN-д үл тоомсорлодог.
Халдлагад хамгийн өртөмтгий нь Amazon Web Services (AWS) ашигладаг CloudFront CDN байв. Амазон одоо алдааны кэшийг идэвхгүй болгосноор асуудлыг зассан ч хамгаалалт нэмэхэд судлаачид гурван сар гаруй хугацаа зарцуулсан байна. Энэ асуудал мөн Cloudflare, Varnish, Akamai, CDN77 болон
Хурдан, гэхдээ тэдгээрээр дамжих халдлага нь IIS, ASP.NET ашигладаг зорилтот серверүүдээр хязгаарлагддаг. и . , АНУ-ын Батлан хамгаалах яамны домэйнуудын 11%, HTTP архивын мэдээллийн сангаас URL-уудын 16%, Alexa-аас эрэмбэлсэн 30 том сайтын 500 орчим хувь нь халдлагад өртөж болзошгүй.
Сайтын тал дахь халдлагыг хаахын тулд та хариултын кэш хийхийг хориглодог "Cache-Control: no-store" толгойг ашиглаж болно. Зарим CDN-д, жишээлбэл.
CloudFront болон Akamai, та профайлын тохиргооны түвшинд алдааны кэшийг идэвхгүй болгож болно. Хамгаалахын тулд та вэб програмын галт хана (WAF, Web Application Firewall) ашиглаж болно, гэхдээ тэдгээр нь CDN тал дээр кэшийн хостуудын өмнө хэрэгжсэн байх ёстой.
Эх сурвалж: opennet.ru