హాంబర్గ్ మరియు కొలోన్ విశ్వవిద్యాలయాల పరిశోధకులు
సమస్య CDNల కాష్ విజయవంతంగా పూర్తి చేసిన అభ్యర్థనలను మాత్రమే కాకుండా, http సర్వర్ లోపాన్ని అందించిన సందర్భాలకు సంబంధించినది. నియమం ప్రకారం, అభ్యర్థనల ఏర్పాటులో సమస్యల విషయంలో, సర్వర్ 400 (చెడు అభ్యర్థన) లోపాన్ని జారీ చేస్తుంది, మినహాయింపు IIS మాత్రమే, ఇది చాలా పెద్ద హెడర్లకు 404 (కనుగొనబడలేదు) లోపాన్ని జారీ చేస్తుంది. ప్రమాణం 404 (కనుగొనబడలేదు), 405 (పద్ధతి అనుమతించబడలేదు), 410 (గాన్) మరియు 501 (అమలుపరచబడలేదు) లోపాలను మాత్రమే కాష్ చేయడానికి అనుమతిస్తుంది, అయితే కొన్ని CDNలు పంపిన అభ్యర్థనపై ఆధారపడి 400 (చెడు అభ్యర్థన) ప్రతిస్పందనలను కూడా కాష్ చేస్తాయి. .
దాడి చేసేవారు ప్రత్యేకంగా రూపొందించిన HTTP హెడర్లతో అభ్యర్థనను పంపడం ద్వారా అసలు వనరుపై “400 బాడ్ రిక్వెస్ట్” ఎర్రర్ను అందించవచ్చు. ఈ హెడర్లను CDN పరిగణనలోకి తీసుకోదు, కాబట్టి పేజీని యాక్సెస్ చేయడం అసంభవం గురించిన సమాచారం కాష్ చేయబడుతుంది మరియు గడువు ముగిసేలోపు అన్ని ఇతర చెల్లుబాటు అయ్యే వినియోగదారు అభ్యర్థనలు మూలాధార సైట్ కంటెంట్ను రెండర్ చేసినప్పటికీ లోపం ఏర్పడవచ్చు. ఏ సమస్యలు లేకుండా.
HTTP సర్వర్ని లోపాన్ని తిరిగి ఇవ్వమని బలవంతం చేయడానికి, మూడు దాడి ఎంపికలు ప్రతిపాదించబడ్డాయి:
- HMO (HTTP మెథడ్ ఓవర్రైడ్) - దాడి చేసే వ్యక్తి "X-HTTP-మెథడ్-ఓవర్రైడ్", "X-HTTP-మెథడ్" లేదా "X-మెథడ్-ఓవర్రైడ్" హెడర్ల ద్వారా అసలు అభ్యర్థన పద్ధతిని భర్తీ చేయవచ్చు, కానీ కొన్ని సర్వర్లచే మద్దతు ఇవ్వబడదు. CDNలో పరిగణించబడుతుంది. ఉదాహరణకు, మీరు అసలు "GET" పద్ధతిని సర్వర్లో నిషేధించబడిన "DELETE" పద్ధతికి లేదా స్టాటిక్స్కు వర్తించని "POST" పద్ధతికి మార్చవచ్చు;
- HHO (HTTP హెడర్ ఓవర్సైజ్) - సోర్స్ సర్వర్ పరిమితిని మించిపోయే విధంగా దాడి చేసే వ్యక్తి హెడర్ పరిమాణాన్ని ఎంచుకోవచ్చు, కానీ CDN పరిమితుల పరిధిలోకి రాదు. ఉదాహరణకు, Apache httpd హెడర్ పరిమాణాన్ని 8 KBకి పరిమితం చేస్తుంది, అయితే Amazon Cloudfront CDN హెడర్లను 20 KB వరకు అనుమతిస్తుంది;
- HMC (HTTP మెటా క్యారెక్టర్) - దాడి చేసే వ్యక్తి అభ్యర్థనలో ప్రత్యేక అక్షరాలను (\n, \r, \a) భర్తీ చేయవచ్చు, ఇవి మూలం సర్వర్లో చెల్లనివిగా పరిగణించబడతాయి, కానీ CDNలో విస్మరించబడతాయి.
Amazon వెబ్ సర్వీసెస్ (AWS)లో ఉపయోగించిన CDN క్లౌడ్ఫ్రంట్ దాడికి ఎక్కువ అవకాశం ఉన్నట్లు తేలింది. అమెజాన్ ఇప్పుడు ఎర్రర్ కాషింగ్ను నిషేధించడం ద్వారా సమస్యను పరిష్కరించింది, అయితే రక్షణను జోడించడానికి పరిశోధకులకు మూడు నెలల కంటే ఎక్కువ సమయం పట్టింది. ఈ సమస్య క్లౌడ్ఫ్లేర్, వార్నిష్, అకామై, CDN77 మరియు
వేగంగా, కానీ వాటి ద్వారా దాడి IIS, ASP.NET, ఉపయోగించే లక్ష్య సర్వర్లకు పరిమితం చేయబడింది,
సైట్ వైపు దాడిని నిరోధించడానికి ప్రత్యామ్నాయంగా, మీరు "కాష్-కంట్రోల్: నో-స్టోర్" హెడర్ను ఉపయోగించవచ్చు, ఇది ప్రతిస్పందనలను కాషింగ్ను నిషేధిస్తుంది. వంటి కొన్ని CDNలు
CloudFront మరియు Akamai, మీరు ప్రొఫైల్ సెట్టింగ్ల స్థాయిలో ఎర్రర్ కాషింగ్ను నిలిపివేయవచ్చు. రక్షణ కోసం, మీరు వెబ్ అప్లికేషన్ల (WAF, వెబ్ అప్లికేషన్ ఫైర్వాల్) కోసం ఫైర్వాల్లను కూడా ఉపయోగించవచ్చు, అయితే అవి తప్పనిసరిగా కాషింగ్ హోస్ట్ల ముందు CDN వైపున అమలు చేయబడాలి.
మూలం: opennet.ru