Pekin universiteti, Tsinghua universiteti va Dallasdagi Texas universiteti tadqiqotchilari guruhi DoS hujumlarining yangi klassi - RangeAmp, HTTP sarlavhasidan foydalanishga asoslangan kontent yetkazib berish tarmoqlari (CDN) orqali trafikni kuchaytirishni tashkil qilish. Usulning mohiyati shundaki, diapazon sarlavhalari ko'plab CDN-larda qayta ishlanishi tufayli, tajovuzkor CDN orqali katta fayldan bir bayt talab qilishi mumkin, ammo CDN butun faylni yoki undan kattaroq ma'lumotlar blokini yuklab oladi. maqsadli server keshga joylashtiriladi. Bunday hujum paytida trafikni kuchaytirish darajasi, CDN-ga qarab, 724 dan 43330 martagacha o'zgarib turadi, bu CDNni kiruvchi trafik bilan ortiqcha yuklash yoki jabrlanuvchining saytiga yakuniy aloqa kanalining sig'imini kamaytirish uchun ishlatilishi mumkin.
Range sarlavhasi mijozga butun faylni qaytarish o'rniga yuklab olinishi kerak bo'lgan fayldagi bir qator pozitsiyalarni belgilash imkoniyatini beradi. Misol uchun, mijoz "Range: bytes = 0-1023" ni belgilashi mumkin va server faqat birinchi 1024 bayt ma'lumotni uzatadi. Bu xususiyat katta hajmdagi fayllarni yuklab olishda talabga ega - foydalanuvchi yuklab olishni to'xtatib qo'yishi va keyin uzilgan holatdan davom etishi mumkin. “Bayt=0-0”ni belgilashda standart fayldagi birinchi baytni, “bayt=-1” - oxirgi, “bayt=1-” - 1 baytdan boshlab fayl oxirigacha berishni buyuradi. Bitta sarlavhada bir nechta diapazonlarni uzatish mumkin, masalan, “Diapazon: bayt=0-1023,8192-10240”.
Bundan tashqari, proksi-server sifatida ishlatiladigan boshqa CDN orqali trafikni yo'naltirishda tarmoq yukini oshirishga qaratilgan ikkinchi hujum varianti taklif qilindi (masalan, Cloudflare frontend (FCDN) va Akamai backend vazifasini bajarganda ( BCDN). Usul birinchi hujumga o'xshaydi, lekin CDN tarmoqlari ichida lokalizatsiya qilinadi va boshqa CDNlar orqali kirishda trafikni ko'paytirish, infratuzilmaga yukni oshirish va xizmat ko'rsatish sifatini pasaytirish imkonini beradi.
G'oya shundan iboratki, tajovuzkor CDN-ga bir nechta diapazondagi diapazon so'rovlarini yuboradi, masalan, "baytlar=0-,0-,0-...", "baytlar=1-,0-,0-..." yoki "bayt=-1024,0 ,0-,0-...". So'rovlar ko'p sonli "0-" diapazonlarini o'z ichiga oladi, bu faylning nol holatidan oxirigacha qaytarilishini anglatadi. Diapazonni tahlil qilish noto'g'ri amalga oshirilganligi sababli, birinchi CDN ikkinchisiga kirganda, har bir "53-" diapazoni uchun to'liq fayl yuboriladi (diapazonlar yig'ilmagan, lekin ketma-ket takrorlangan), agar diapazonlarning takrorlanishi va kesishishi mavjud bo'lsa. dastlab tajovuzkor tomonidan yuborilgan so'rov. Bunday hujumda trafikni kuchaytirish darajasi 7432 dan XNUMX martagacha.
Tadqiqot davomida 13 CDNning xatti-harakati o'rganildi -
Akamai, Alibaba Cloud, Azure, CDN77, CDNsun, Cloudflare, CloudFront, Fastly, G-Core Labs, Huawei Cloud, KeyCDN, StackPath va Tencent Cloud. Ko'rib chiqilgan barcha CDNlar oxirgi serverga hujumning birinchi turiga ruxsat berdi. CDN hujumining ikkinchi varianti 6 ta xizmatga ta'sir ko'rsatdi, ulardan to'rttasi hujumda frontend (CDN77, CDNsun, Cloudflare va StackPath) va uchtasi backend (Akamai, Azure va StackPath) sifatida harakat qilishi mumkin edi. Eng katta daromad Akamai va StackPath-da erishiladi, bu esa Range sarlavhasida 10 mingdan ortiq diapazonlarni ko'rsatishga imkon beradi. CDN egalari zaifliklar haqida taxminan 7 oy oldin xabardor qilingan va ma'lumotlar ommaga oshkor qilingan vaqtga kelib, 12 CDNdan 13 tasi aniqlangan muammolarni bartaraf etgan yoki ularni tuzatishga tayyorligini bildirgan (faqat StackPath xizmati javob bermadi).
Manba: opennet.ru