CDN မှတဆင့် စာမျက်နှာများကို ရရှိနိုင်စေရန် CPDoS တိုက်ခိုက်မှု

Hamburg နှင့် Cologne တက္ကသိုလ်များမှ သုတေသီများ
ဖွံ့ဖြိုးသည်။ အကြောင်းအရာပေးပို့ခြင်းကွန်ရက်များနှင့် caching proxy များအတွက် တိုက်ခိုက်ရေးနည်းပညာအသစ် - CPDoS (Cache-Poisoned Denial-of-Service)။ တိုက်ခိုက်မှုသည် ကက်ရှ်အဆိပ်ခတ်ခြင်းမှတစ်ဆင့် ငြင်းဆိုရန် စာမျက်နှာတစ်ခုသို့ ဝင်ရောက်ခွင့်ပြုသည်။

ပြဿနာက CDNs cache သည် တောင်းဆိုမှုများကို အောင်မြင်စွာ ပြီးမြောက်စေရုံသာမက http server မှ error တစ်ခု ပြန်ပေးသည့် အခြေအနေများကြောင့်လည်း ဖြစ်သည်။ စည်းမျဉ်းအတိုင်း၊ တောင်းဆိုမှုများဖွဲ့စည်းရာတွင် ပြဿနာများရှိပါက၊ ဆာဗာသည် 400 (မကောင်းတဲ့တောင်းဆိုချက်) အမှားကိုထုတ်ပေးသည်၊ တစ်ခုတည်းသောခြွင်းချက်မှာ IIS ဖြစ်ပြီး ကြီးမားလွန်းသောခေါင်းစီးများအတွက် 404 (Not Found) error ကိုထုတ်ပေးပါသည်။ စံနှုန်းသည် ကုဒ် 404 (Not Found), 405 (ခွင့်ပြုမထားသော နည်းလမ်း), 410 (Gone) နှင့် 501 (အကောင်အထည်ဖော်ခြင်းမပြု) တို့ကို ကုဒ်များကိုသာ ကက်ရှ်လုပ်ခွင့်ပေးသော်လည်း အချို့သော CDN များသည် ကုဒ် 400 (Bad Request) ဖြင့် ကုဒ်တုံ့ပြန်မှုများကိုသာ ကက်ရှ်လုပ်ထားသည်။ ပေးပို့တောင်းဆိုမှုအပေါ်။

တိုက်ခိုက်သူများသည် အချို့သောနည်းလမ်းဖြင့် HTTP ခေါင်းစီးများဖြင့် ဖော်မတ်လုပ်ထားသည့် တောင်းဆိုချက်တစ်ခုပေးပို့ခြင်းဖြင့် “400 Bad Request” အမှားကို မူရင်းရင်းမြစ်ကို ပြန်ဖြစ်စေနိုင်သည်။ ဤခေါင်းစီးများကို CDN မှ ထည့်သွင်းမစဉ်းစားထားသောကြောင့် စာမျက်နှာသို့ဝင်ရောက်ခွင့်မရခြင်းဆိုင်ရာ အချက်အလက်များကို ကက်ရှ်လုပ်ထားမည်ဖြစ်ပြီး အချိန်မကုန်မီ အခြားတရားဝင်အသုံးပြုသူ တောင်းဆိုချက်များအားလုံးသည် မူရင်းဆိုက်တွင် ပါဝင်သည့်အကြောင်းအရာကို ဆောင်ရွက်ပေးနေသည့်ကြားမှပင် အမှားအယွင်းဖြစ်သွားနိုင်ပါသည်။ မည်သည့်ပြဿနာမျှမရှိဘဲ။

HTTP ဆာဗာအား အမှားအယွင်းတစ်ခုပြန်ဖြစ်စေရန် တိုက်ခိုက်မှုရွေးချယ်စရာသုံးခုကို အဆိုပြုထားသည်။

• HMO (HTTP Method Override) - တိုက်ခိုက်သူသည် အချို့သောဆာဗာများမှပံ့ပိုးထားသော "X-HTTP-Method-Override", "X-HTTP-Method" သို့မဟုတ် "X-Method-Override" ခေါင်းစီးများမှတဆင့် မူရင်းတောင်းဆိုချက်နည်းလမ်းကို အစားထိုးနိုင်သော်လည်း၊ CDN တွင် ထည့်သွင်းစဉ်းစားခြင်းမရှိပါ။ ဥပမာအားဖြင့်၊ သင်သည် မူရင်း “GET” နည်းလမ်းကို ဆာဗာတွင် တားမြစ်ထားသည့် “ဖျက်ရန်” နည်းလမ်း သို့မဟုတ် statics အတွက် အသုံးမပြုနိုင်သော “POST” နည်းလမ်း၊
  

• HHO (HTTP Header Oversize) - တိုက်ခိုက်သူသည် ရင်းမြစ်ဆာဗာ၏ ကန့်သတ်ချက်ထက်ကျော်လွန်သော်လည်း CDN ​​ကန့်သတ်ချက်များအတွင်း မကျရောက်စေရန် ခေါင်းစီးအရွယ်အစားကို ရွေးချယ်နိုင်သည်။ ဥပမာအားဖြင့်၊ Apache httpd သည် ခေါင်းစီးအရွယ်အစားကို 8 KB ကန့်သတ်ထားပြီး Amazon Cloudfront CDN သည် ခေါင်းစီးများကို 20 KB အထိ ခွင့်ပြုသည်။
  

• HMC (HTTP Meta Character) - တိုက်ခိုက်သူသည် အရင်းအမြစ်ဆာဗာတွင် တရားမဝင်ဟု ယူဆသော်လည်း CDN ​​တွင် လျစ်လျူရှုထားသည့် တောင်းဆိုချက် (\n, \r, \a) တွင် အထူးဇာတ်ကောင်များ ထည့်သွင်းနိုင်သည်။
  

တိုက်ခိုက်ရန် အခံရနိုင်ဆုံးမှာ Amazon Web Services (AWS) မှ အသုံးပြုသည့် CloudFront CDN ဖြစ်သည်။ Amazon သည် ယခု ပြဿနာကို error caching ကို disable လုပ်ထားသော်လည်း ကာကွယ်မှုကို ထည့်သွင်းရန် သုတေသီများက သုံးလကျော်ကြာခဲ့သည်။ အဆိုပါပြဿနာသည် Cloudflare၊ Varnish၊ Akamai၊ CDN77 နှင့်လည်း ထိခိုက်ခဲ့သည်။
လျင်မြန်သော်လည်း ၎င်းတို့မှတစ်ဆင့် တိုက်ခိုက်ခြင်းသည် IIS၊ ASP.NET သုံးသော ပစ်မှတ်ဆာဗာများအတွက် အကန့်အသတ်ရှိသည်။ ဘူး и 1 ကစားသည်. မှတ်ချက်ချသည်။US ကာကွယ်ရေးဌာန၏ 11%၊ HTTP Archive ဒေတာဘေ့စ်မှ URL 16% နှင့် Alexa အဆင့်သတ်မှတ်ထားသော ထိပ်တန်းဝဘ်ဆိုဒ် 30 ၏ 500% ခန့်သည် တိုက်ခိုက်ခံရနိုင်ချေရှိသည်။

ဆိုက်ဘက်ခြမ်းတွင် တိုက်ခိုက်မှုတစ်ခုအား ပိတ်ဆို့ရန် ဖြေရှင်းနည်းတစ်ခုအနေဖြင့်၊ သင်သည် တုံ့ပြန်မှု သိမ်းဆည်းခြင်းကို တားမြစ်ထားသည့် "Cache-Control: no-store" ခေါင်းစီးကို အသုံးပြုနိုင်သည်။ CDN အချို့တွင်၊ ဥပမာ။
CloudFront နှင့် Akamai၊ သင်သည် ပရိုဖိုင်ဆက်တင်အဆင့်တွင် အမှားအယွင်း ကက်ချခြင်းကို ပိတ်နိုင်သည်။ အကာအကွယ်အတွက်၊ သင်သည် ဝဘ်အက်ပလီကေးရှင်း Firewalls (WAF၊ Web Application Firewall) ကိုသုံးနိုင်သော်လည်း ၎င်းတို့ကို caching host များရှေ့တွင် CDN ဘက်မှ အကောင်အထည်ဖော်ရပါမည်။

source: opennet.ru