ஹாம்பர்க் மற்றும் கொலோன் பல்கலைக்கழக ஆராய்ச்சியாளர்கள்
உள்ளடக்க விநியோக நெட்வொர்க்குகள் மற்றும் கேச்சிங் ப்ராக்ஸிகள் மீதான புதிய தாக்குதல் நுட்பம் - (கேச்-விஷம் செய்யப்பட்ட சேவை மறுப்பு). கேச் பாய்சனிங் மூலம் ஒரு பக்கத்திற்கான அணுகலை மறுக்க இந்தத் தாக்குதல் அனுமதிக்கிறது.
சிடிஎன்களின் தற்காலிக சேமிப்பானது கோரிக்கைகளை வெற்றிகரமாக நிறைவு செய்வது மட்டுமல்லாமல், http சேவையகம் பிழையை வழங்கும் சூழ்நிலையிலும் சிக்கல் ஏற்படுகிறது. ஒரு விதியாக, கோரிக்கைகளை உருவாக்குவதில் சிக்கல்கள் இருந்தால், சேவையகம் 400 (மோசமான கோரிக்கை) பிழையை வழங்குகிறது; ஒரே விதிவிலக்கு IIS ஆகும், இது மிகப் பெரிய தலைப்புகளுக்கு 404 (கண்டுபிடிக்கப்படவில்லை) பிழையை வழங்குகிறது. தரநிலையானது 404 (கண்டுபிடிக்கப்படவில்லை), 405 (முறை அனுமதிக்கப்படவில்லை), 410 (போய்விட்டது) மற்றும் 501 (செயல்படுத்தப்படவில்லை) ஆகிய குறியீடுகள் கொண்ட பிழைகளை மட்டுமே தற்காலிக சேமிப்பில் வைக்க அனுமதிக்கிறது, ஆனால் சில CDNகள் குறியீடு 400 (மோசமான கோரிக்கை) உடன் பதில்களைத் தேக்ககப்படுத்துகின்றன. அனுப்பப்பட்ட கோரிக்கையில்.
ஒரு குறிப்பிட்ட வழியில் வடிவமைக்கப்பட்ட HTTP தலைப்புகளுடன் கோரிக்கையை அனுப்புவதன் மூலம் தாக்குபவர்கள் அசல் ஆதாரத்தை "400 மோசமான கோரிக்கை" பிழையை வழங்கலாம். இந்த தலைப்புகள் CDN ஆல் கணக்கில் எடுத்துக்கொள்ளப்படவில்லை, எனவே பக்கத்தை அணுக இயலாமை பற்றிய தகவல்கள் தற்காலிக சேமிப்பில் வைக்கப்படும், மேலும் அசல் தளம் உள்ளடக்கத்தை வழங்கினாலும், காலாவதியாகும் முன் அனைத்து சரியான பயனர் கோரிக்கைகளும் பிழையை ஏற்படுத்தலாம். எந்த பிரச்சனையும் இல்லாமல்.
மூன்று தாக்குதல் விருப்பங்கள் HTTP சேவையகத்தை ஒரு பிழையை வழங்குவதற்கு முன்மொழியப்பட்டுள்ளன:
- HMO (HTTP முறை மேலெழுதுதல்) - தாக்குதல் செய்பவர் "X-HTTP-Method-Override", "X-HTTP-Method" அல்லது "X-Method-Override" தலைப்புகள் மூலம் அசல் கோரிக்கை முறையை மீறலாம், சில சேவையகங்களால் ஆதரிக்கப்படுகிறது, ஆனால் CDN இல் கணக்கில் எடுத்துக்கொள்ளப்படவில்லை. எடுத்துக்காட்டாக, நீங்கள் அசல் "GET" முறையை "DELETE" முறைக்கு மாற்றலாம், இது சர்வரில் தடைசெய்யப்பட்டுள்ளது அல்லது "POST" முறை, இது ஸ்டேட்டிக்ஸ்க்கு பொருந்தாது;
- HHO (HTTP Header Oversize) - ஒரு தாக்குபவர் தலைப்பு அளவைத் தேர்ந்தெடுக்கலாம், அதனால் அது மூல சேவையகத்தின் வரம்பை மீறுகிறது, ஆனால் CDN கட்டுப்பாடுகளுக்குள் வராது. எடுத்துக்காட்டாக, Apache httpd தலைப்பு அளவை 8 KB ஆகக் கட்டுப்படுத்துகிறது, மேலும் Amazon Cloudfront CDN 20 KB வரை தலைப்புகளை அனுமதிக்கிறது;
- HMC (HTTP Meta Character) - ஒரு தாக்குதல் செய்பவர் கோரிக்கையில் (\n, \r, \a) சிறப்பு எழுத்துக்களைச் செருகலாம், அவை மூலச் சேவையகத்தில் தவறானதாகக் கருதப்படும், ஆனால் CDN இல் புறக்கணிக்கப்படும்.
அமேசான் வலை சேவைகள் (AWS) பயன்படுத்தும் CloudFront CDN தாக்குதலுக்கு மிகவும் எளிதில் பாதிக்கப்படுகிறது. அமேசான் இப்போது பிழை தேக்ககத்தை முடக்குவதன் மூலம் சிக்கலைச் சரிசெய்துள்ளது, ஆனால் பாதுகாப்பைச் சேர்க்க ஆராய்ச்சியாளர்களுக்கு மூன்று மாதங்களுக்கு மேல் ஆனது. இந்தச் சிக்கல் Cloudflare, Warnish, Akamai, CDN77 மற்றும்
வேகமாக, ஆனால் அவற்றின் மூலம் தாக்குதல் IIS, ASP.NET, பயன்படுத்தும் இலக்கு சேவையகங்களுக்கு மட்டுமே. и . , 11% அமெரிக்க பாதுகாப்புத் துறை டொமைன்கள், HTTP காப்பக தரவுத்தளத்திலிருந்து 16% URLகள் மற்றும் அலெக்ஸாவால் தரவரிசைப்படுத்தப்பட்ட முதல் 30 இணையதளங்களில் 500% தாக்குதலுக்கு உள்ளாகலாம்.
தளத்தின் பக்கத்தில் தாக்குதலைத் தடுப்பதற்கான ஒரு தீர்வாக, நீங்கள் “கேச்-கண்ட்ரோல்: நோ-ஸ்டோர்” என்ற தலைப்பைப் பயன்படுத்தலாம், இது பதில் கேச்சிங்கைத் தடைசெய்கிறது. சில CDNகளில், எ.கா.
CloudFront மற்றும் Akamai, நீங்கள் சுயவிவர அமைப்புகள் மட்டத்தில் பிழை தேக்ககத்தை முடக்கலாம். பாதுகாப்பிற்காக, நீங்கள் வலை பயன்பாட்டு ஃபயர்வால்களையும் (WAF, Web Application Firewall) பயன்படுத்தலாம், ஆனால் அவை கேச்சிங் ஹோஸ்ட்களுக்கு முன்னால் CDN பக்கத்தில் செயல்படுத்தப்பட வேண்டும்.
ஆதாரம்: opennet.ru