پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > CDN کے ذریعے پیش کیے جانے والے صفحات کو دستیاب نہ کرنے کے لیے CPDoS حملہ

CDN کے ذریعے پیش کیے جانے والے صفحات کو دستیاب نہ کرنے کے لیے CPDoS حملہ

ہیمبرگ اور کولون یونیورسٹیوں کے محققین
ترقی یافتہ مواد کی ترسیل کے نیٹ ورکس اور کیشنگ پراکسیز پر حملے کی ایک نئی تکنیک - CPDoS (Cache-Poisoned Denial-of Service)۔ یہ حملہ کیش پوائزننگ کے ذریعے صفحہ تک رسائی کی اجازت دیتا ہے۔

مسئلہ اس حقیقت کی وجہ سے ہے کہ CDNs نہ صرف درخواستوں کو کامیابی سے مکمل کر لیتے ہیں، بلکہ ایسے حالات میں بھی جب HTTP سرور غلطی لوٹاتا ہے۔ ایک اصول کے طور پر، اگر درخواستیں بنانے میں دشواری ہوتی ہے، تو سرور 400 (خراب درخواست) کی خرابی جاری کرتا ہے؛ واحد استثنا IIS ہے، جو بہت بڑے ہیڈرز کے لیے 404 (نہیں ملا) کی خرابی جاری کرتا ہے۔ معیار صرف کوڈز 404 (نہیں ملا)، 405 (طریقہ کی اجازت نہیں ہے)، 410 (گون) اور 501 (نافذ نہیں کیا گیا) کو کیش کرنے کی اجازت دیتا ہے، لیکن کچھ CDNs جوابات کو کوڈ 400 (خراب درخواست) کے ساتھ کیش بھی کرتے ہیں، جو انحصار کرتا ہے۔ بھیجی گئی درخواست پر۔

حملہ آور کسی خاص طریقے سے فارمیٹ کردہ HTTP ہیڈرز کے ساتھ درخواست بھیج کر اصل وسائل کو "400 بری درخواست" کی غلطی واپس کرنے کا سبب بن سکتے ہیں۔ CDN کے ذریعہ ان ہیڈرز کو مدنظر نہیں رکھا جاتا ہے، اس لیے صفحہ تک رسائی کی عدم دستیابی کے بارے میں معلومات کو کیش کر دیا جائے گا، اور ٹائم آؤٹ ختم ہونے سے پہلے صارف کی دیگر تمام درست درخواستوں کے نتیجے میں غلطی ہو سکتی ہے، اس حقیقت کے باوجود کہ اصل سائٹ مواد فراہم کرتی ہے۔ بغیر کسی پریشانی کے۔

HTTP سرور کو غلطی واپس کرنے پر مجبور کرنے کے لیے حملے کے تین اختیارات تجویز کیے گئے ہیں۔

  • HMO (HTTP میتھڈ اوور رائیڈ) - حملہ آور اصل درخواست کے طریقہ کار کو "X-HTTP-Method-Override"، "X-HTTP-Method" یا "X-Method-Override" ہیڈر کے ذریعے اوور رائیڈ کر سکتا ہے، جو کچھ سرورز کے ذریعے تعاون یافتہ ہیں، لیکن CDN میں مدنظر نہیں رکھا گیا ہے۔ مثال کے طور پر، آپ اصل "GET" طریقہ کو "DELETE" طریقہ میں تبدیل کر سکتے ہیں، جو سرور پر ممنوع ہے، یا "POST" طریقہ، جو کہ statics کے لیے قابل اطلاق نہیں ہے۔

    CDN کے ذریعے پیش کیے جانے والے صفحات کو دستیاب نہ کرنے کے لیے CPDoS حملہ

  • HHO (HTTP Header Oversize) - ایک حملہ آور ہیڈر کا سائز منتخب کر سکتا ہے تاکہ یہ سورس سرور کی حد سے تجاوز کر جائے، لیکن CDN پابندیوں میں نہیں آتا ہے۔ مثال کے طور پر، Apache httpd ہیڈر کے سائز کو 8 KB تک محدود کرتا ہے، اور Amazon Cloudfront CDN 20 KB تک ہیڈر کی اجازت دیتا ہے۔
    CDN کے ذریعے پیش کیے جانے والے صفحات کو دستیاب نہ کرنے کے لیے CPDoS حملہ

  • HMC (HTTP میٹا کریکٹر) - ایک حملہ آور درخواست میں خصوصی حروف داخل کر سکتا ہے (\n, \r, \a)، جنہیں سورس سرور پر غلط سمجھا جاتا ہے، لیکن CDN میں نظر انداز کر دیا جاتا ہے۔

    CDN کے ذریعے پیش کیے جانے والے صفحات کو دستیاب نہ کرنے کے لیے CPDoS حملہ

حملے کے لیے سب سے زیادہ حساس CloudFront CDN تھا جسے Amazon Web Services (AWS) نے استعمال کیا۔ ایمیزون نے اب ایرر کیچنگ کو غیر فعال کرکے مسئلہ حل کردیا ہے، لیکن محققین کو تحفظ شامل کرنے میں تین ماہ سے زیادہ کا وقت لگا۔ اس مسئلے نے Cloudflare، Varnish، Akamai، CDN77 اور کو بھی متاثر کیا۔
تیزی سے، لیکن ان کے ذریعے حملہ ہدف سرورز تک محدود ہے جو IIS، ASP.NET، فلاسک и 1 کھیلو. یہ نوٹ کیا جاتا ہے, کہ 11% امریکی محکمہ دفاع کے ڈومینز، HTTP آرکائیو ڈیٹا بیس سے 16% URLs اور Alexa کے ذریعے درجہ بندی کی گئی ٹاپ 30 ویب سائٹس میں سے تقریباً 500% ممکنہ طور پر حملے کا نشانہ بن سکتی ہیں۔

سائٹ سائیڈ پر ہونے والے حملے کو روکنے کے لیے کام کے طور پر، آپ "کیشے-کنٹرول: نو-اسٹور" ہیڈر استعمال کر سکتے ہیں، جو کہ رسپانس کیشنگ کو روکتا ہے۔ کچھ CDNs میں، جیسے
CloudFront اور Akamai، آپ پروفائل کی ترتیبات کی سطح پر غلطی کیشنگ کو غیر فعال کر سکتے ہیں۔ تحفظ کے لیے، آپ ویب ایپلیکیشن فائر والز (WAF، Web Application Firewall) بھی استعمال کر سکتے ہیں، لیکن انہیں کیشنگ ہوسٹس کے سامنے CDN کی طرف لاگو کیا جانا چاہیے۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں