هيمبرگ ۽ کولون جي يونيورسٽين مان محقق
مواد پهچائڻ واري نيٽ ورڪ ۽ ڪيشنگ پراکسيز تي هڪ نئين حملي واري ٽيڪنڪ - (Cache-Poisoned Denial-of-Service). حملي کي اجازت ڏئي ٿو ته هڪ صفحي تائين رسائي کي رد ڪيو وڃي ڪيش زهر جي ذريعي.
مسئلو ان حقيقت جو سبب آهي ته CDNs ڪيش نه صرف ڪاميابيءَ سان مڪمل ٿيل درخواستون، پر حالتون پڻ آهن جڏهن http سرور هڪ غلطي واپس ڪري ٿو. ضابطي جي طور تي، جيڪڏهن درخواستون ٺاهڻ ۾ مسئلا آهن، سرور هڪ 400 (خراب درخواست) غلطي جاري ڪري ٿو؛ صرف استثنا IIS آهي، جيڪو تمام وڏي هيڊرز لاء 404 (نه مليو) غلطي جاري ڪري ٿو. معيار صرف ڪوڊس 404 (نه مليو)، 405 (طريقي جي اجازت نه ڏني وئي)، 410 (گون) ۽ 501 (عمل نه ڪيو ويو) سان ڪيش ٿيڻ جي اجازت ڏئي ٿو، پر ڪجهه سي ڊي اينز پڻ ڪوڊ 400 (خراب درخواست) سان جوابن کي ڪيش ڪن ٿا، جيڪو انحصار ڪري ٿو. موڪليل درخواست تي.
حملو ڪندڙ اصل وسيلو کي واپس ڪرڻ جو سبب بڻائين ٿا "400 خراب درخواست" غلطي کي موڪلڻ سان HTTP هيڊرز سان گڏ هڪ خاص طريقي سان فارميٽ ٿيل. اهي هيڊرز سي ڊي اين جي حساب سان نه ڪيا ويا آهن، تنهنڪري صفحي تائين رسائي جي ناڪامي بابت معلومات کي ڪيش ڪيو ويندو، ۽ وقت ختم ٿيڻ کان اڳ ٻين سڀني صحيح صارف جي درخواستن جي نتيجي ۾ غلطي ٿي سگهي ٿي، ان حقيقت جي باوجود ته اصل سائيٽ مواد جي خدمت ڪري ٿي. بغير ڪنهن پريشاني جي.
ٽي حملي جا اختيار تجويز ڪيا ويا آهن HTTP سرور کي مجبور ڪرڻ لاءِ غلطي واپس ڪرڻ لاءِ:
- HMO (HTTP Method Override) - هڪ حملو ڪندڙ اصل درخواست واري طريقي کي "X-HTTP-Method-Override"، "X-HTTP-Method" يا "X-Method-Override" هيڊرز ذريعي اوور رائيڊ ڪري سگھي ٿو، ڪجھ سرورن جي مدد سان، پر CDN ۾ حساب ۾ نه ورتو ويو. مثال طور، توھان تبديل ڪري سگھو ٿا اصل ”GET“ طريقي کي ”DELETE“ طريقي سان، جيڪو سرور تي ممنوع آھي، يا ”پوسٽ“ طريقو، جيڪو statics لاءِ لاڳو نه آھي؛
- HHO (HTTP Header Oversize) - هڪ حملو ڪندڙ هيڊر جي سائيز کي منتخب ڪري سگهي ٿو ته جيئن اهو سورس سرور جي حد کان وڌي وڃي، پر CDN جي پابندين ۾ نه اچي. مثال طور، Apache httpd هيڊر جي سائيز کي 8 KB تائين محدود ڪري ٿو، ۽ Amazon Cloudfront CDN اجازت ڏئي ٿو هيڊرز کي 20 KB تائين؛
- HMC (HTTP Meta Character) - هڪ حملو ڪندڙ گذارش ۾ خاص اکر داخل ڪري سگھي ٿو (\n, \r, \a)، جن کي سورس سرور تي غلط سمجهيو وڃي ٿو، پر CDN ۾ نظر انداز ڪيو وڃي ٿو.
حملي لاءِ سڀ کان وڌيڪ حساس CloudFront CDN استعمال ڪيو ويو Amazon Web Services (AWS). Amazon هاڻي مسئلو حل ڪري ڇڏيو آهي غلطي ڪيشنگ کي غير فعال ڪري، پر ان کي تحفظ شامل ڪرڻ ۾ محققن کي ٽن مهينن کان وڌيڪ وقت لڳي ويو. اهو مسئلو پڻ متاثر ڪيو Cloudflare، Varnish، Akamai، CDN77 ۽
تيزيءَ سان، پر انهن جي ذريعي حملو حدف سرور تائين محدود آهي جيڪي IIS، ASP.NET، и . ، ته 11٪ يو ايس ڊپارٽمينٽ آف ڊفينس ڊومينز، 16٪ URLs مان HTTP آرڪائيو ڊيٽابيس مان ۽ تقريباً 30٪ مٿيون 500 ويب سائيٽون جيڪي Alexa پاران درجه بندي ڪيون ويون آهن ممڪن طور تي حملي جي تابع ٿي سگهن ٿيون.
سائيٽ جي پاسي تي حملي کي روڪڻ لاءِ ڪم ڪار جي طور تي، توھان استعمال ڪري سگھو ٿا ”ڪيش-ڪنٽرول: ڪو-اسٽور“ ھيڊر، جيڪو ردعمل ڪيشنگ کي ممنوع ڪري ٿو. ڪجهه CDNs ۾، مثال طور.
CloudFront ۽ Akamai، توهان پروفائل سيٽنگن جي سطح تي غلطي ڪيشنگ کي بند ڪري سگھو ٿا. تحفظ لاءِ، توھان پڻ استعمال ڪري سگھو ٿا ويب ايپليڪيشن فائر والز (WAF، Web Application Firewall)، پر انھن کي لازمي طور تي CDN پاسي تي ڪيشنگ ھوسٽ جي اڳيان لاڳو ڪيو وڃي.
جو ذريعو: opennet.ru