Команда исследователей от Пекинского университета, Университета Цинхуа и Техасского университета в Далласе опубликовала информацию о ваша работа сделана, чтобы иметь возможность идентифицировать новый класс DoS-атак, который они назвали "RangeAmp" и которые основаны на использовании HTTP-заголовка Range для организации усиления трафика через сеть доставки контента (CDN).
Суть метода Дело в том, из-за особенностей обработки заголовков Range на многих CDN, злоумышленник может запросить байт из большого файла через CDN, но CDN загрузит весь файл или значительно больший блок данных с целевого сервера. для кеширования.
Степень усиления трафика при атаке этого типа, по данным CDN, составляет от 724 до 43330 раз, что можно использовать для перегрузки входящего трафика CDN или уменьшения пропускной способности конечного канала связи с сайтом жертвы.
Заголовок Range позволяет клиенту определять диапазон позиций в файле. который должен быть загружен вместо возврата всего файла.
Например, клиент может указать «Диапазон: байты = 0-1023», и сервер будет передавать только первые 1024 байта данных. Эта функция очень востребована при загрузке больших файлов: пользователь может приостановить загрузку, а затем продолжить ее с прерванной позиции. При указании «bytes = 0-0» стандарт предписывает отдавать первый байт в файле, «bytes = -1» - последний, «bytes = 1-» - от 1 байта до конца файла. В одном заголовке можно передать несколько диапазонов, например «Диапазон: байты = 0-1023.8192-10240».
Кроме того, был предложен второй вариант атаки (это называется атакой RangeAmp Overlapping Byte Ranges (OBR), предназначен для увеличения нагрузки на сеть когда трафик перенаправляется через другой CDN, который используется в качестве прокси (например, когда Cloudflare действует как интерфейс (FCDN), а Akamai действует как бэкэнд (BCDN)). Метод напоминает первую атаку, но локализован внутри CDN и позволяет увеличивать трафик при доступе через другие CDN, увеличивая нагрузку на инфраструктуру и снижая качество обслуживания.
Идея состоит в том, чтобы злоумышленник отправил несколько диапазонов в запрос диапазона CDN, например «байты = 0-, 0-, 0 - ...», «байты = 1-, 0-, 0 - ...» или «байтов = - 1024,0-, 0 -…«.
Запросы содержат большое количество диапазонов "0-", что подразумевает возврат файла с нуля до конца. Из-за неправильного синтаксического анализа диапазона, когда первый CDN ссылается на второй, полный файл возвращается на каждую полосу "0-" (диапазоны не агрегируются, а упорядочиваются последовательно), если в исходном запросе атаки присутствуют дублирование и пересечение диапазона. Степень усиления трафика при такой атаке составляет от 53 до 7432 раз.
В исследовании изучалось поведение 13 сетей CDN: Akamai, Alibaba Cloud, Azure, CDN77, CDNsun, Cloudflare, CloudFront, Fastly, G-Core Labs, Huawei Cloud, KeyCDN, StackPath и Tencent Cloud.
«К сожалению, хотя мы несколько раз писали им по электронной почте и пытались связаться с их службой поддержки клиентов, StackPath не предоставил никаких отзывов», - заявила исследовательская группа.
«В целом, мы сделали все возможное, чтобы ответственно сообщать об уязвимостях и предлагать решения по их устранению. У связанных провайдеров CDN было почти семь месяцев на внедрение методов смягчения последствий до того, как этот документ был опубликован ».
Все рассмотренные CDN допускали первый тип атаки на целевой сервер.. Вторая версия CDN-атаки оказалась уязвимой для 6 сервисов, из которых четыре могут выступать в качестве интерфейса в атаке (CDN77, CDNsun, Cloudflare и StackPath), а три - в роли серверной части (Akamai, Azure и StackPath).
Наибольший прирост достигается в Akamai и StackPath, которые позволяют указать более 10 XNUMX рангов в заголовке Rank.
Владельцы CDN были уведомлены о уязвимостей около 7 месяцев назад и на момент публичного раскрытия информации 12 из 13 сетей CDN решили выявленные проблемы или выразили готовность их решать.
источник: https://www.liubaojun.org