ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > CDN ద్వారా అందించబడిన పేజీలను యాక్సెస్ చేయలేని విధంగా చేసే CPDoS దాడి

CDN ద్వారా అందించబడిన పేజీలను యాక్సెస్ చేయలేని విధంగా చేసే CPDoS దాడి

హాంబర్గ్ మరియు కొలోన్ విశ్వవిద్యాలయాల పరిశోధకులు
అభివృద్ధి చేశారు కంటెంట్ డెలివరీ నెట్‌వర్క్‌లపై దాడి చేయడం మరియు ప్రాక్సీలను కాషింగ్ చేయడం కోసం కొత్త టెక్నిక్ - CPDoS (కాష్-పాయిజన్డ్-డినియల్-ఆఫ్-సర్వీస్). దాడి కాష్ పాయిజనింగ్ ద్వారా పేజీకి ప్రాప్యతను తిరస్కరించడానికి అనుమతిస్తుంది.

సమస్య CDNల కాష్ విజయవంతంగా పూర్తి చేసిన అభ్యర్థనలను మాత్రమే కాకుండా, http సర్వర్ లోపాన్ని అందించిన సందర్భాలకు సంబంధించినది. నియమం ప్రకారం, అభ్యర్థనల ఏర్పాటులో సమస్యల విషయంలో, సర్వర్ 400 (చెడు అభ్యర్థన) లోపాన్ని జారీ చేస్తుంది, మినహాయింపు IIS మాత్రమే, ఇది చాలా పెద్ద హెడర్‌లకు 404 (కనుగొనబడలేదు) లోపాన్ని జారీ చేస్తుంది. ప్రమాణం 404 (కనుగొనబడలేదు), 405 (పద్ధతి అనుమతించబడలేదు), 410 (గాన్) మరియు 501 (అమలుపరచబడలేదు) లోపాలను మాత్రమే కాష్ చేయడానికి అనుమతిస్తుంది, అయితే కొన్ని CDNలు పంపిన అభ్యర్థనపై ఆధారపడి 400 (చెడు అభ్యర్థన) ప్రతిస్పందనలను కూడా కాష్ చేస్తాయి. .

దాడి చేసేవారు ప్రత్యేకంగా రూపొందించిన HTTP హెడర్‌లతో అభ్యర్థనను పంపడం ద్వారా అసలు వనరుపై “400 బాడ్ రిక్వెస్ట్” ఎర్రర్‌ను అందించవచ్చు. ఈ హెడర్‌లను CDN పరిగణనలోకి తీసుకోదు, కాబట్టి పేజీని యాక్సెస్ చేయడం అసంభవం గురించిన సమాచారం కాష్ చేయబడుతుంది మరియు గడువు ముగిసేలోపు అన్ని ఇతర చెల్లుబాటు అయ్యే వినియోగదారు అభ్యర్థనలు మూలాధార సైట్ కంటెంట్‌ను రెండర్ చేసినప్పటికీ లోపం ఏర్పడవచ్చు. ఏ సమస్యలు లేకుండా.

HTTP సర్వర్‌ని లోపాన్ని తిరిగి ఇవ్వమని బలవంతం చేయడానికి, మూడు దాడి ఎంపికలు ప్రతిపాదించబడ్డాయి:

  • HMO (HTTP మెథడ్ ఓవర్‌రైడ్) - దాడి చేసే వ్యక్తి "X-HTTP-మెథడ్-ఓవర్‌రైడ్", "X-HTTP-మెథడ్" లేదా "X-మెథడ్-ఓవర్‌రైడ్" హెడర్‌ల ద్వారా అసలు అభ్యర్థన పద్ధతిని భర్తీ చేయవచ్చు, కానీ కొన్ని సర్వర్‌లచే మద్దతు ఇవ్వబడదు. CDNలో పరిగణించబడుతుంది. ఉదాహరణకు, మీరు అసలు "GET" పద్ధతిని సర్వర్‌లో నిషేధించబడిన "DELETE" పద్ధతికి లేదా స్టాటిక్స్‌కు వర్తించని "POST" పద్ధతికి మార్చవచ్చు;

    CDN ద్వారా అందించబడిన పేజీలను యాక్సెస్ చేయలేని విధంగా చేసే CPDoS దాడి

  • HHO (HTTP హెడర్ ఓవర్‌సైజ్) - సోర్స్ సర్వర్ పరిమితిని మించిపోయే విధంగా దాడి చేసే వ్యక్తి హెడర్ పరిమాణాన్ని ఎంచుకోవచ్చు, కానీ CDN పరిమితుల పరిధిలోకి రాదు. ఉదాహరణకు, Apache httpd హెడర్ పరిమాణాన్ని 8 KBకి పరిమితం చేస్తుంది, అయితే Amazon Cloudfront CDN హెడర్‌లను 20 KB వరకు అనుమతిస్తుంది;
    CDN ద్వారా అందించబడిన పేజీలను యాక్సెస్ చేయలేని విధంగా చేసే CPDoS దాడి

  • HMC (HTTP మెటా క్యారెక్టర్) - దాడి చేసే వ్యక్తి అభ్యర్థనలో ప్రత్యేక అక్షరాలను (\n, \r, \a) భర్తీ చేయవచ్చు, ఇవి మూలం సర్వర్‌లో చెల్లనివిగా పరిగణించబడతాయి, కానీ CDNలో విస్మరించబడతాయి.

    CDN ద్వారా అందించబడిన పేజీలను యాక్సెస్ చేయలేని విధంగా చేసే CPDoS దాడి

Amazon వెబ్ సర్వీసెస్ (AWS)లో ఉపయోగించిన CDN క్లౌడ్‌ఫ్రంట్ దాడికి ఎక్కువ అవకాశం ఉన్నట్లు తేలింది. అమెజాన్ ఇప్పుడు ఎర్రర్ కాషింగ్‌ను నిషేధించడం ద్వారా సమస్యను పరిష్కరించింది, అయితే రక్షణను జోడించడానికి పరిశోధకులకు మూడు నెలల కంటే ఎక్కువ సమయం పట్టింది. ఈ సమస్య క్లౌడ్‌ఫ్లేర్, వార్నిష్, అకామై, CDN77 మరియు
వేగంగా, కానీ వాటి ద్వారా దాడి IIS, ASP.NET, ఉపయోగించే లక్ష్య సర్వర్‌లకు పరిమితం చేయబడింది, జాడీలో и 1 ఆడండి. ఇది గుర్తించబడిందిUS డిపార్ట్‌మెంట్ ఆఫ్ డిఫెన్స్ డొమైన్‌లలో 11%, HTTP ఆర్కైవ్ డేటాబేస్ నుండి 16% URLలు మరియు అలెక్సా రేటింగ్ ప్రకారం 30 అతిపెద్ద సైట్‌లలో దాదాపు 500% దాడికి గురయ్యే అవకాశం ఉంది.

సైట్ వైపు దాడిని నిరోధించడానికి ప్రత్యామ్నాయంగా, మీరు "కాష్-కంట్రోల్: నో-స్టోర్" హెడర్‌ను ఉపయోగించవచ్చు, ఇది ప్రతిస్పందనలను కాషింగ్‌ను నిషేధిస్తుంది. వంటి కొన్ని CDNలు
CloudFront మరియు Akamai, మీరు ప్రొఫైల్ సెట్టింగ్‌ల స్థాయిలో ఎర్రర్ కాషింగ్‌ను నిలిపివేయవచ్చు. రక్షణ కోసం, మీరు వెబ్ అప్లికేషన్‌ల (WAF, వెబ్ అప్లికేషన్ ఫైర్‌వాల్) కోసం ఫైర్‌వాల్‌లను కూడా ఉపయోగించవచ్చు, అయితే అవి తప్పనిసరిగా కాషింగ్ హోస్ట్‌ల ముందు CDN వైపున అమలు చేయబడాలి.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి