關于一類新的Web緩存中毒攻擊的詳細信息已經出現,可以用來拒絕用戶訪問內容分發(fā)網絡(CDN)分配資源���。
這種新方法叫“拒絕服務緩存中毒(CPDoS)”���,它有多種變體�,可以發(fā)送格式錯誤的標頭HTTP請求工作��。
通過緩存服務器進行DoS
CDN原始服務器上的通信量通過緩存客戶端經常要求的資源來減少���。這樣做的直接效果是提高性能。
CDN系統結構中的緩存系統通常分散在較大的地理區(qū)域�,以實現更好的分配。它存儲源服務器中資源的最新版本��,并在客戶要求時交付給客戶端���。
這些中間系統處理請求并將其轉發(fā)到目的地��,等待新版本的響應和資源(如果存在)��。使用新變體的緩存鍵來確定資源的新鮮度��。
CPDoS在CDN中間緩存系統級工作���,由錯誤的緩存系統接收和存儲HTTP請求標頭引起的錯誤頁面。
因此�,試圖訪問相同資源的用戶將收到緩存錯誤頁面���,因為這是原始服務器在請求后返回的帶有錯誤標頭的內容。
攻擊的變化
科隆應用科學大學和德國漢堡大學HoaiVietNguyen�����,LuigiLoIacono和HannesFederrath描述了CPDoS三種攻擊變化:
HTTP標頭超大(HHO)HTTP元字符(HMC)HTTP方法覆蓋(HMO)
使用HHO類型的CPDoS威脅參與者將被用作攻擊HTTP要求標頭設置的尺寸限制中間系統和Web服務器��。
如果緩存系統接受的請求標頭大小大于原始服務器所定義的大小��,則攻擊者可以使用超大請求密鑰或多個標頭來制作請求�����。
在這種情況下��,緩存將用多個標頭轉發(fā)請求�����,然后網絡服務器將阻止請求并返回400BadRequest緩存錯誤的頁面�。未來,同一資源的請求將獲得錯誤的頁面�。
為了更好地解釋這種情況,研究人員制作了一個目標是托管的視頻AmazonCloudFront應用程序���。
在攻擊過程中���,錯誤的頁面將有選擇地替換資源���,直到整個頁面不可用。
HTTP元字符(HMC)�����,CPDoS攻擊的第二個變體和HHO類似���,但使用有害元字符。這些是任何“控制字符��,如換行符/回車符('\n)'�;,換行符('\r'�����;)或鈴聲('\a')”��。
第三��,高速緩存系統執(zhí)行其工作,并轉發(fā)從客戶端收到的請求�。當它到達源服務器時,它可能會被分類為惡意程序�����,并產生錯誤的信息����,緩存并呈現給客戶端而不是請求資源。
超越攻擊的方法(HMO)�����,這是CPDoS它只支持第三種變體GET和POSTHTTP中間系統(如代理�、負負載平衡器、緩存���、防火墻)中獲利�����。
這是為了阻止別人HTTP請求方法Web替換標頭中支持的應用程序指示信息HTTP方法的Web框架允許繞過安全策略并提供不同的安全策略�����,例如DELETE�����。
在上圖中�,GET原始服務器上的請求被覆蓋Web應用程序將其解釋為POST,并返回相應的響應�����。
“讓我們假設目標Web應用程序未對//應用程序未對/index.html上的POST實現任何業(yè)務邏輯����。在這種情況下��,如PlayFramework1之類的Web框架將返回404狀態(tài)碼的錯誤消息NotFound��。”
結果��,錯誤的消息被緩存并用于/index.html后續(xù)資源有效GET請求���。
下面的視頻演示CPDoS使用郵遞員工具測試攻擊的變體Web從而阻止對目標網站主頁的訪問�����。
影響深遠
CDN在較大的地理位置運行��,CPDoS攻擊生成的錯誤頁面可以到達多個緩存服務器位置����。
然而,研究人員發(fā)現��,并非所有邊緣服務器都受到這種威脅的影響���,一些客戶端仍將從原始服務器接收有效頁面�。
他們使用它進行測試TurboBytesPulse(全局DNS�����,HTTP和traceroute測試工具)和網站速度測量服務���。
德國(法蘭克福)對同一國家(科隆)目標的攻擊影響了歐洲和亞洲某些地區(qū)的緩存服務器����。
解決問題
這種DoS攻擊的標頭超大(HHO)和元字符(HHM)變體是可能的��,因為它符合標準HTTP實現不同,默認情況下�,標準HTTP不允許存儲包含錯誤代碼的響應。
“Web緩存標準只允許緩存錯誤代碼'404NotFound'����,'405MethodNotAllowed','410Gone'和'501NotImplemented'����,”研究人員致力于CPDoS在網站上寫道。
阻止DoS最簡單的方法就是遵守這些攻擊HTTP上面定義的錯誤頁面只緩存標準�。
但是,使用錯誤的狀態(tài)代碼來處理錯誤也會使用這些攻擊����,因為內容提供商會使用更常見的攻擊。“400錯誤請求”用于聲明標頭太大�����。正確的是“431請求標頭字段太大”����,研究人員分析的任何系統都沒有緩存���。
針對HHO和HHMCPDoS全面的變體解決方案是將錯誤的頁面完全排除在緩存之外�����。
保護措施還包括緩存前的設置Web防火墻的應用程序(WAF)����,試圖捕獲原始服務器的惡意內容。
存在于多個CDN上的問題
從三位學者的測試來看��,亞馬遜CloudFrontCDN似乎最容易受到CPDoS威脅��。
在研究人員測試的25個流量服務器和Web框架中只有三個HTTP實施不受CPDoS攻擊:ApacheTS��,GoogleCloudStorage和Squid����。
下表顯示了此類Web緩存系統和HTTP這種拒絕服務會影響實現的組合.
已經向受影響的各方報告了問題,其中一些人以其他方式發(fā)布了補丁或糾正��。
Microsoft更新了IISServer修復程序��,并于6月發(fā)布了關于漏洞的詳細信息(CVE-2019-0941)���。PlayFramework還在1.5.3和1.4.6版本中針對HMO方法修補了其產品�����。
但并非所有供應商都有相同的反應��。Flask開發(fā)人員多次聯系�����,但沒有回復�����,也沒有回復CPDoS彈性尚不清楚�����。
亞馬遜的安全團隊意識到CloudFront默認情況下停止使用狀態(tài)碼的弱點“400BadRequest”緩存錯誤頁面��。但研究人員表示���,溝通主要是一種方式���,因為他們從未收到關于緩解進度的最新信息���。
HoaiVietNguyen���,LuigiLoIacono和HannesFederrath本文詳細介紹了您的緩存下降:緩存中毒拒絕服務攻擊Web緩存中毒攻擊及其變化����。(來源網絡)
咨詢熱線:
400-996-8756
產品詳情頁
0371-89913000
