Gamburg va Kyoln universitetlari tadqiqotchilari
kontentni yetkazib berish tarmoqlariga hujum qilishning yangi usuli va proksi-serverlarni keshlash - (Kesh bilan zaharlangan xizmatni rad etish). Hujum keshni zaharlash orqali sahifaga kirishni taqiqlash imkonini beradi.
Muammo CDN-larning nafaqat muvaffaqiyatli bajarilgan so'rovlarni keshlashi, balki http-server xatolik qaytaradigan holatlar bilan bog'liq. Qoidaga ko'ra, so'rovlarni shakllantirish bilan bog'liq muammolar mavjud bo'lsa, server 400 (Noto'g'ri so'rov) xatosini chiqaradi; yagona istisno - bu juda katta sarlavhalar uchun 404 (topilmadi) xatosini chiqaradigan IIS. Standart faqat 404 (topilmadi), 405 (usul ruxsat berilmagan), 410 (ketdi) va 501 (amalga oshirilmagan) kodlari bilan xatolarni keshlash imkonini beradi, biroq baʼzi CDNʼlar ham javoblarni 400 (Notoʻgʻri soʻrov) kodi bilan keshlash imkonini beradi. yuborilgan so'rov bo'yicha.
Buzg'unchilar ma'lum bir tarzda formatlangan HTTP sarlavhalari bilan so'rov yuborish orqali asl resursning "400 ta yomon so'rov" xatosini qaytarishiga olib kelishi mumkin. Ushbu sarlavhalar CDN tomonidan hisobga olinmaydi, shuning uchun sahifaga kirish imkoni yo'qligi haqidagi ma'lumotlar keshlanadi va kutish muddati tugagunga qadar barcha boshqa amaldagi foydalanuvchi so'rovlari, asl sayt kontentga xizmat ko'rsatishiga qaramay, xatolikka olib kelishi mumkin. hech qanday muammosiz.
HTTP serverini xatoni qaytarishga majburlash uchun uchta hujum varianti taklif qilingan:
- HMO (HTTP Method Override) - tajovuzkor ba'zi serverlar tomonidan qo'llab-quvvatlanadigan "X-HTTP-Metod-Override", "X-HTTP-Method" yoki "X-Metod-Override" sarlavhalari orqali asl so'rov usulini bekor qilishi mumkin, lekin CDN da hisobga olinmaydi. Masalan, siz asl "GET" usulini serverda taqiqlangan "DELETE" usuliga yoki statikaga taalluqli bo'lmagan "POST" usuliga o'zgartirishingiz mumkin;
- HHO (HTTP Header Oversize) - tajovuzkor sarlavha hajmini manba server chegarasidan oshib ketishi uchun tanlashi mumkin, lekin CDN cheklovlariga kirmaydi. Masalan, Apache httpd sarlavha hajmini 8 KB gacha cheklaydi va Amazon Cloudfront CDN 20 KB gacha sarlavhalarga ruxsat beradi;
- HMC (HTTP Meta Belgisi) - buzg'unchi so'rovga (\n, \r, \a) maxsus belgilar kiritishi mumkin, ular manba serverida yaroqsiz deb hisoblanadi, lekin CDNda e'tiborga olinmaydi.
Hujumga eng sezgir Amazon Web Services (AWS) tomonidan ishlatiladigan CloudFront CDN edi. Amazon endi xato keshlashni o'chirib, muammoni hal qildi, ammo himoyani qo'shish uchun tadqiqotchilar uch oydan ko'proq vaqtni oldi. Muammo Cloudflare, Varnish, Akamai, CDN77 va
Tez, lekin ular orqali hujum faqat IIS, ASP.NET, и . , AQSh Mudofaa vazirligi domenlarining 11%, HTTP Arxiv maʼlumotlar bazasidagi URL manzillarining 16% va Alexa reytingida eng yaxshi 30 ta veb-saytlarning 500% ga yaqini hujumga duchor boʻlishi mumkin.
Sayt tomonidagi hujumni blokirovka qilish uchun vaqtinchalik yechim sifatida siz "Kesh-nazorat: do'kon yo'q" sarlavhasidan foydalanishingiz mumkin, bu esa javoblarni keshlashni taqiqlaydi. Ba'zi CDNlarda, masalan.
CloudFront va Akamai, siz profil sozlamalari darajasida xato keshlashni o'chirib qo'yishingiz mumkin. Himoya qilish uchun siz veb-ilovalar xavfsizlik devorlaridan (WAF, Web Application Firewall) ham foydalanishingiz mumkin, ammo ular CDN tomonida keshlash xostlari oldida amalga oshirilishi kerak.
Manba: opennet.ru