CloudFront�����、Cloudflare����、Fastly�����、Akamai及其他CDN服務提供商都是新的CPDoSWeb緩存中毒攻擊的影響。
科隆工業(yè)大學(THKoln)本周����,兩位學者披露了一種新型Web攻擊可以毒害內容分發(fā)網(wǎng)絡(CDN)�����,從而緩存和生成錯誤的頁面�,而不是合法的網(wǎng)站�����。
這種新攻擊被稱為CPDoS(拒絕服務緩存中毒)�����,在實際環(huán)境下被認為是可行的三種變體(這與大多數(shù)其他變體相比)Web不同的緩存攻擊)���。
CPDoS攻擊是如何實施的���?
CPDoS對現(xiàn)代的攻擊Web兩部分:(1)Web分發(fā)網(wǎng)絡的服務器和(2)內容。
Web服務器存儲原始網(wǎng)站及其內容��,CDN存儲網(wǎng)站的緩存副本�,僅按特定時間間隔刷新。
盡管CDN它的角色很簡單,但它是現(xiàn)代互聯(lián)網(wǎng)的重要組成部分�����,因為它們可以減少Web服務器負擔��。CDN網(wǎng)站副本可以提供網(wǎng)站副本��,直到CDN直到新版本更新自己��,而不是Web服務器反復計算相同的用戶請求�。
CDN廣泛使用CDN系統(tǒng)的任何攻擊都可能嚴重損害網(wǎng)站的可用性����,從而嚴重損害盈利能力。
在這種情況下��,CPDoS工作方下特點:
攻擊者直到他的站�,直到他的要求生成新的CDN請求條目。
攻擊者的請求是惡意的���,超大的HTTP頭����。
CDN允許該頭轉移到合法網(wǎng)站進行處理CDN生成要緩存的網(wǎng)頁。
尺寸超大的HTTP頭導致Web服務器崩潰�����。
生成錯誤頁面的服務器(“400BadRequest”錯誤)���。
錯誤頁面緩存CDN上
其他訪問該網(wǎng)站的用戶將獲得錯誤的頁面��,而不是實際網(wǎng)站�。
緩存的錯誤會傳播到CDN其他網(wǎng)絡節(jié)點在合法網(wǎng)站上造成虛假故障����。
據(jù)研究團隊聲稱,CPDoS攻擊有三種變體�����,這取決于攻擊者決定使用它們HTTP頭類型:
HTTPHeaderOversize(HHO)
HTTP元字符(HMC)
HTTP方法重載(HMO)
本文不討論每次攻擊的技術差異�。欲了解更多詳細信息和演示,請訪問本網(wǎng)站(https://cpdos.org/)�����,或閱讀研究人員CPDoS白皮書(https://cpdos.org/paper/Your_Cache_Has_Fallen__Cache_Poisoned_Denial_of_Service_Attack__Preprint_.pdf)���。
CPDOS攻擊被認為是可行的
THKoln團隊在研究CPDoS在攻擊的實際可行性期間�,他們試圖托管多個家庭CDN提供商網(wǎng)絡上的測試網(wǎng)站進行了廣泛的緩存中毒攻擊。
例如�,下圖顯示了攻擊者對合法網(wǎng)站的危險符號(危險符號)CDN服務器(藍色標記)發(fā)動攻擊,然后將緩存錯誤頁面?zhèn)鬏數(shù)狡渌撁鍯DN服務器(紅色標記)毒害CDN大多數(shù)提供商網(wǎng)絡��。
上述攻擊等攻擊會延長合法網(wǎng)站的停機時間���,給網(wǎng)站所有者造成經(jīng)濟損失�����。
好消息是,并非所有的Web服務器(HTTP協(xié)議實現(xiàn))和CDN網(wǎng)絡容易受到攻擊���。
根據(jù)研究人員的測試��,下表顯示了哪些服務器 CDN組合易受攻擊����。
有緩解措施
幸運的是��,目前有對付CPDoS緩解攻擊����。最簡單的解決方案是網(wǎng)站所有者配置它CDN默認情況下不緩存服務HTTP錯誤頁面��。
許多CDN服務提供商在儀表板中包含此類設置�����,因此采取此措施并不難��。
假如網(wǎng)站所有者在CDNWeb儀表板中沒有控制器來禁止錯誤頁面的緩存����,可以添加到每個錯誤頁面類型中“Cache-Control:no-store”HTTP頭��,從服務器的配置文件內部禁用該功能���。
對付CPDoS更復雜的攻擊解決方案是CDN供應商本身可能需要改變產品的工作方式��。
據(jù)研究團隊稱����,一些研究團隊聲稱CDN提供商之所以容易受到影響CPDoS攻擊是因為他們沒有遵循互聯(lián)網(wǎng)緩存協(xié)議�����。
研究小組說:“Web只允許緩存標準[CDN]404緩存錯誤代碼NotFound���、405MethodNotAllowed���、410Gone和501NotImplemented����。”他指出CDN不應該緩存CPDoS攻擊生成的“400BadRequest”錯誤頁面�����。
他們說:“因此,按照HTTP標準的策略來緩存錯誤頁面是避免CPDoS攻擊的第一步�����。”
這種方法比較復雜,需要很多CDN提供商的后端做一些工作�。在此之前�,第一個對策更容易實施。
由于CPDoS事實上���,攻擊是有可能的大多數(shù)網(wǎng)站所有者應該能夠保護他們的服務器免受任何可能的濫用。
研究人員警告網(wǎng)站管理員不要忽視這個問題�。根據(jù)他們的測試,30%是30%AlexaTop500網(wǎng)站����、10%的美國國防部域名以及從谷歌BigQuery存檔獲得的3.65億個URL樣本中16%的URL可能容易受到CPDoS攻擊。
咨詢熱線:
400-996-8756
產品詳情頁
0371-89913000
