ProHoster > Blog > litaba tsa inthanete > Sehlooho sa Alt-Svc HTTP se ka sebelisoa ho hlahloba likou tsa marang-rang tse ka hare

Sehlooho sa Alt-Svc HTTP se ka sebelisoa ho hlahloba likou tsa marang-rang tse ka hare

Bafuputsi ba tsoang Univesithing ea Boston ntlafala mokgoa wa tlhaselo
(CVE-2019-11728) lumella hlahloba liaterese tsa IP le likou tse bulehileng tsa marang-rang ho marang-rang a ka hare a mosebedisi, a koaletsoeng ka ntle ho marang-rang ka firewall, kapa tsamaiso ea hona joale (localhost). Tlhaselo e ka etsoa ha u bula leqephe le entsoeng ka ho khetheha ho sebatli. Mokhoa o reriloeng o ipapisitse le ts'ebeliso ea hlooho ea HTTP Alt-Svc (Litšebeletso tse ling tsa HTTP, EA-7838-RF). Bothata bo hlaha ho Firefox, Chrome le libatli tse ipapisitseng le lienjineri tsa bona, ho kenyeletsoa Tor Browser le Brave.

Sehlooho sa Alt-Svc se lumella seva ho fumana mokhoa o mong oa ho fumana sebaka sa marang-rang le ho laela sebatli ho khutlisetsa kopo ho moamoheli e mocha, mohlala bakeng sa ho leka-lekanya mojaro. Hape hoa khoneha ho hlakisa boema-kepe ba marang-rang bakeng sa ho fetisoa, mohlala, ho hlakisa 'Alt-Svc: http/1.1="other.example.com:443";ma=200' e laela moreki hore a hokahane le moamoheli e mong.example. .org ho amohela leqephe le kopiloeng ho sebelisoa port port 443 le HTTP/1.1 protocol. Paramethara ea "ma" e bolela nako e telele ea ho tsamaisa sebaka. Ho phaella ho HTTP/1.1, HTTP/2-over-TLS (h2), HTTP/2-over plain text (h2c), SPDY(spdy) le QUIC (quic) e sebelisang UDP li tšehetsoa e le liprothokholo.

Sehlooho sa Alt-Svc HTTP se ka sebelisoa ho hlahloba likou tsa marang-rang tse ka hare

Ho hlahloba liaterese, sebaka sa mohlaseli se ka batlisisa ka tatellano ho liaterese tsa marang-rang tsa ka hare le likou tsa marang-rang tsa thahasello, li sebelisa tieho lipakeng tsa likopo tse pheta-phetoang joalo ka lets'oao.
Haeba sesebelisoa se lebisitsoeng hosele se le sieo, sebatli se tla fumana pakete ea RST hang-hang 'me hang-hang se tšoaee tšebeletso e 'ngoe e le hore ha e fumanehe, ebe se khutlisetsa phetiso ea nako ea bophelo e boletsoeng kopong.
Haeba boema-kepe ba marang-rang bo bulehile, ho tla nka nako e teletsana ho phethela khokahanyo (boiteko bo tla etsoa ho theha khokahano le phapanyetsano ea pakete e tsamaisanang) mme sebatli se ke ke sa arabela hang-hang.

Ho fumana tlhahisoleseling mabapi le netefatso, mohlaseli a ka fetisetsa mosebelisi hang-hang leqepheng la bobeli, leo hloohong ea Alt-Svc e tla bua ka moamoheli ea mathang. Haeba sebatli sa moreki se romella kopo leqepheng lena, re ka nka hore kopo ea pele ea Alt-Svc e setiloe bocha 'me sebatli le boema-kepe tse ntseng li lekoa ha li fumanehe. Haeba kopo e sa amoheloe, joale data e mabapi le phetisetso ea pele ha e so felloe ke nako mme khokahano e se e thehiloe.

Mokhoa ona o boetse o o lumella ho lekola likou tsa marang-rang tse thathamisitsoeng ke sebatli, joalo ka li-ports tsa mail. Tlhaselo e sebetsang e lokiselitsoe ho sebelisoa sebaka sa iframe sephethephetheng sa mohlaseluoa le tšebeliso ea protocol ea HTTP/2 ho Alt-Svc bakeng sa Firefox le QUIC ho hlahloba likou tsa UDP ho Chrome. Ho Tor Browser, tlhaselo e ke ke ea sebelisoa molemong oa marang-rang a kahare le sebaka sa lehae, empa e loketse ho hlophisa tlhahlobo e patehileng ea mabotho a kantle ka node ea Tor. Ho na le bothata ba port scanning felisitsoe ho Firefox 68.

Sehlooho sa Alt-Svc le sona se ka sebelisoa:

  • Ha u hlophisa litlhaselo tsa DDoS. Mohlala, bakeng sa TLS, redirect e ka fana ka phaello ea makhetlo a 60 ho tloha ha kopo ea bareki ea pele e nka li-byte tse 500, karabo e nang le setifikeiti e ka ba 30 KB. Ka ho hlahisa likōpo tse tšoanang ka loop ho mekhoa e mengata ea bareki, o ka qeta lisebelisoa tsa marang-rang tse fumanehang ho seva;

    Sehlooho sa Alt-Svc HTTP se ka sebelisoa ho hlahloba likou tsa marang-rang tse ka hare

  • Ho iphapanyetsa mekhoa e khahlanong le phishing le e thibelang malware e fanoang ke lits'ebeletso tse kang Safe Browsing (ho fetisetsoa ho moamoheli ea khopo ha ho hlahise temoso);
  • Ho hlophisa ho latedisa motsamao wa mosebedisi. Ntho ea bohlokoa ea mokhoa ona ke ho nkela sebaka sa iframe eo ho buuoang ka eona ho Alt-Svc mochine oa ho latela mokhoa oa ka ntle, o bitsoang ho sa tsotellehe ho kenyelletsoa ha lisebelisoa tsa anti-tracker. Hape hoa khonahala ho latela boemo ba mofani oa thepa ka ts'ebeliso ea sekhetho se ikhethileng ho Alt-Svc (IP e sa reroang: boema-kepe joalo ka sesupo) ka tlhahlobo e latelang ea sephethephethe sa lipalangoang;

    Sehlooho sa Alt-Svc HTTP se ka sebelisoa ho hlahloba likou tsa marang-rang tse ka hare

    Sehlooho sa Alt-Svc HTTP se ka sebelisoa ho hlahloba likou tsa marang-rang tse ka hare

  • Ho fumana lintlha tsa nalane ea motsamao. Ka ho kenya litšoantšo ho tsoa sebakeng se fanoeng se sebelisang Alt-Svc leqepheng la eona la iframe ka kopo le ho sekaseka boemo ba Alt-Svc sephethephetheng, mohlaseli ea nang le bokhoni ba ho sekaseka sephethephethe sa lipalangoang a ka etsa qeto ea hore mosebelisi o kile a etela sebaka se boletsoeng. sebaka;
  • Li-log tse lerata tsa litsamaiso tsa ho lemoha ho kenella. Ka Alt-Svc, o ka baka leqhubu la likopo ho lits'ebetso tse mpe molemong oa mosebelisi mme oa etsa ponahalo ea litlhaselo tsa bohata ho pata tlhahisoleseling mabapi le tlhaselo ea 'nete ka molumo o akaretsang.

Source: opennet.ru

Eketsa ka tlhaloso