Ett team av forskare från Peking University, Tsinghua University och University of Texas i Dallas en ny klass av DoS-attacker - RangeAmp, baserad på användningen av en HTTP-header att organisera trafikförstärkning genom innehållsleveransnätverk (CDN). Kärnan i metoden är att på grund av hur Range-rubriker behandlas i många CDN, kan en angripare begära en byte från en stor fil via CDN, men CDN kommer att ladda ner hela filen eller ett mycket större datablock från målserver som ska placeras i cachen. Graden av trafikförstärkning under en sådan attack, beroende på CDN, varierar från 724 till 43330 gånger, vilket kan användas för att överbelasta CDN med inkommande trafik eller minska kapaciteten för den slutliga kommunikationskanalen till offrets plats.
Range-huvudet ger klienten möjlighet att ange ett antal positioner i filen som ska laddas ner istället för att returnera hela filen. Till exempel kan klienten ange "Omfång: bytes=0-1023" och servern kommer endast att överföra de första 1024 byten med data. Denna funktion är efterfrågad vid nedladdning av stora filer - användaren kan pausa nedladdningen och sedan fortsätta från den avbrutna positionen. När du anger "bytes=0-0", instruerar standarden att ge den första byten i filen, "bytes=-1" - den sista, "bytes=1-" - från 1 byte till slutet av filen. Det är möjligt att överföra flera intervall i en rubrik, till exempel "Range: bytes=0-1023,8192-10240".
Dessutom har ett andra attackalternativ föreslagits, som syftar till att öka nätverksbelastningen när trafik vidarebefordras genom ett annat CDN, som används som proxy (till exempel när Cloudflare fungerar som frontend (FCDN), och Akamai fungerar som backend ( BCDN). Metoden liknar den första attacken, men är lokaliserad inom CDN-nätverk och möjliggör ökad trafik när den nås via andra CDN, vilket ökar belastningen på infrastrukturen och minskar kvaliteten på tjänsten.
Tanken är att angriparen skickar Range-förfrågningar av flera intervall till CDN, som "bytes=0-,0-,0-...", "bytes=1-,0-,0-..." eller "bytes=-1024,0 ,0-,0-...". Förfrågningar innehåller ett stort antal "0-"-intervall, vilket innebär att filen returneras från position noll till slutet. På grund av en felaktig implementering av intervallanalys, när den första CDN:n kommer åt den andra, skickas en komplett fil för varje "53-"-intervall (intervallen är inte aggregerade, utan itereras sekventiellt), om det finns duplicering och skärning av intervall i begäran som ursprungligen skickades av angriparen. Graden av trafikförstärkning i en sådan attack varierar från 7432 till XNUMX gånger.
Under studien studerades beteendet hos 13 CDN: er -
Akamai, Alibaba Cloud, Azure, CDN77, CDNsun, Cloudflare, CloudFront, Fastly, G-Core Labs, Huawei Cloud, KeyCDN, StackPath och Tencent Cloud. Alla undersökta CDN tillät den första typen av attack på slutservern. Den andra varianten av CDN-attacken påverkade 6 tjänster, varav fyra kunde fungera som frontend i attacken (CDN77, CDNsun, Cloudflare och StackPath) och tre som backend (Akamai, Azure och StackPath). Den största vinsten uppnås i Akamai och StackPath, som tillåter mer än 10 tusen intervall att specificeras i Range-huvudet. CDN-ägare underrättades om sårbarheterna för cirka 7 månader sedan, och när informationen offentliggjordes hade 12 av 13 CDN:er åtgärdat de identifierade problemen eller uttryckt sig beredskap att fixa dem (endast StackPath-tjänsten svarade inte).
Källa: opennet.ru