Pekin Üniversitesi, Tsinghua Üniversitesi ve Dallas'taki Texas Üniversitesi'nden araştırmacılardan oluşan bir ekip yeni bir DoS saldırı sınıfı - RangeAmp, bir HTTP başlığının kullanımına dayanmaktadır içerik dağıtım ağları (CDN) aracılığıyla trafiğin artırılmasını organize etmek. Yöntemin özü, Range başlıklarının birçok CDN'de işlenme şekli nedeniyle, bir saldırganın CDN aracılığıyla büyük bir dosyadan bir bayt talep edebilmesidir, ancak CDN, dosyanın tamamını veya çok daha büyük bir veri bloğunu CDN'den indirecektir. Önbelleğe yerleştirilecek hedef sunucu. Böyle bir saldırı sırasında trafik artış derecesi, CDN'ye bağlı olarak 724 ila 43330 kat arasında değişir; bu, CDN'yi gelen trafikle aşırı yüklemek veya kurbanın sitesine giden son iletişim kanalının kapasitesini azaltmak için kullanılabilir.
Aralık başlığı, istemciye, dosyanın tamamını döndürmek yerine, dosyada indirilmesi gereken bir konum aralığı belirleme yeteneği verir. Örneğin, istemci "Aralık: bayt=0-1023" değerini belirleyebilir ve sunucu yalnızca ilk 1024 baytlık veriyi iletecektir. Bu özellik, büyük dosyaları indirirken talep görmektedir - kullanıcı indirmeyi duraklatabilir ve ardından kesintiye uğrayan konumdan devam edebilir. “bytes=0-0” belirtildiğinde standart, 1 byte'tan başlayarak dosyanın sonuna kadar dosyadaki ilk byte'ın “bytes=-1” - sonuncusu “bytes=1-” - verilmesi talimatını verir. Bir başlıkta birden fazla aralığın iletilmesi mümkündür, örneğin "Aralık: bayt=0-1023,8192-10240".
Ek olarak, trafiği proxy olarak kullanılan başka bir CDN üzerinden iletirken ağ yükünü artırmayı amaçlayan ikinci bir saldırı seçeneği de önerildi (örneğin, Cloudflare ön uç (FCDN) olarak hareket ettiğinde ve Akamai arka uç gibi davrandığında () BCDN). Yöntem ilk saldırıya benzer ancak CDN ağları içerisinde yerelleştirilir ve diğer CDN'ler üzerinden erişildiğinde trafiğin artmasına, altyapı üzerindeki yükün artmasına ve hizmet kalitesinin düşmesine olanak tanır.
Buradaki fikir, saldırganın CDN'ye "bayt=0-,0-,0-...", "bayt=1-,0-,0-..." veya "bayt=1024,0-,0-,0-..." gibi çeşitli aralıklardaki Aralık isteklerini göndermesidir. "bayt=-0 ,53-,7432-...". İstekler çok sayıda “XNUMX-” aralığı içerir, bu da dosyanın sıfır konumundan sonuna kadar döndürüldüğünü gösterir. Aralık ayrıştırmanın yanlış uygulanması nedeniyle, ilk CDN ikinciye eriştiğinde, aralıkların çoğaltılması ve kesişmesi varsa, her "XNUMX-" aralığı için (aralıklar toplanmaz, ancak sırayla yinelenir) tam bir dosya gönderilir. Başlangıçta saldırgan tarafından gönderilen istek. Böyle bir saldırıda trafik artış derecesi XNUMX ila XNUMX kat arasında değişmektedir.
Çalışma sırasında 13 CDN'nin davranışı incelendi.
Akamai, Alibaba Cloud, Azure, CDN77, CDNsun, Cloudflare, CloudFront, Fastly, G-Core Labs, Huawei Cloud, KeyCDN, StackPath ve Tencent Cloud. İncelenen CDN'lerin tümü, uç sunucuya yapılan ilk tür saldırıya izin verdi. CDN saldırısının ikinci varyantı 6 hizmeti etkiledi; bunlardan dördü saldırıda ön uç (CDN77, CDNsun, Cloudflare ve StackPath) ve üçü de arka uç (Akamai, Azure ve StackPath) olarak hareket edebilir. En büyük kazanç, Range başlığında 10 binden fazla aralığın belirtilmesine olanak tanıyan Akamai ve StackPath'te elde ediliyor. CDN sahiplerine güvenlik açıkları yaklaşık 7 ay önce bildirildi ve bilgiler kamuya açıklandığında 12 CDN'den 13'si belirlenen sorunları düzeltti veya düzeltmeye hazır olduklarını ifade etti (yalnızca StackPath hizmeti yanıt vermedi).
Kaynak: opennet.ru