Araştırmacılardan oluşan bir ekip Pekin Üniversitesi, Tsinghua Üniversitesi ve Dallas'taki Teksas Üniversitesi'nden hakkında yayımlanan bilgi tanımlayabilmek için yaptığınız iş "RangeAmp" adını verdikleri yeni bir DoS saldırıları sınıfı ve içerik dağıtım ağı (CDN) aracılığıyla trafiğin yükseltilmesini organize etmek için Range HTTP başlığının kullanımına dayalı olanlar.
Yöntemin özü mesele şu ki birçok CDN'de Aralık başlıklarının işlenmesinin tuhaflığından dolayı, bir saldırgan büyük bir dosyadan bir bayt isteyebilir CDN aracılığıyla, ancak CDN, hedef sunucudan tüm dosyayı veya önemli ölçüde daha büyük bir veri bloğunu indirecektir önbelleğe almak için.
CDN'ye göre bu tür bir saldırı sırasında trafik büyütme derecesi, gelen CDN trafiğini aşırı yüklemek veya kurbanın bulunduğu yere son iletişim kanalının bant genişliğini azaltmak için kullanılabilen 724 ila 43330 katıdır.
Aralık başlığı, istemcinin dosyadaki konumların aralığını belirlemesine olanak tanır dosyanın tamamını döndürmek yerine yüklenmesi gerekir.
Örneğin, istemci "Aralık: bayt = 0-1023" belirleyebilir ve sunucu yalnızca ilk 1024 bayt veriyi iletir. Bu özellik, büyük dosyaları indirirken yüksek talep görmektedir: kullanıcı indirmeyi duraklatabilir ve ardından kesintiye uğramış konumdan devam edebilir. "Bayt = 0-0" belirtirken, standart dosyadaki ilk baytı "bayt = -1" - son, "bayt = 1-" - dosyanın 1 bayttan sonuna kadar vermeyi öngörür. Bir başlıkta birden çok aralık geçirebilirsiniz, örneğin "Aralık: bayt = 0-1023.8192-10240".
Buna ek olarak, ikinci bir saldırı seçeneği önerildi (buna RangeAmp Örtüşen Bayt Aralıkları (OBR) saldırısı denir, ağ yükünü artırmak için tasarlanmıştır trafik, proxy olarak kullanılan başka bir CDN aracılığıyla iletildiğinde (örneğin, Cloudflare ön uç (FCDN) ve Akamai arka uç (BCDN) olarak hareket ettiğinde). Yöntem, ilk saldırıya benzer, ancak CDN'ler içinde yerelleştirilir ve diğer CDN'ler üzerinden erişilirken trafiği artırmanıza, altyapı üzerindeki yükü artırmanıza ve hizmet kalitesini düşürmenize olanak tanır.
Buradaki fikir, saldırganın CDN aralığı isteğine "bayt = 0-, 0-, 0 - ...", "bayt = 1-, 0-, 0 - ..." gibi birden çok aralık göndermesidir. "bayt = - 1024,0-, 0 -…«.
İstekler çok sayıda "0-" aralığı içeriyor, bu, dosyanın sıfırdan sonuna kadar geri dönmesi anlamına gelir. İlk CDN ikinciye atıfta bulunduğunda yanlış aralık ayrıştırması nedeniyle, başlangıçta gönderilen saldırı isteğinde aralık çoğaltma ve kesişme mevcutsa, her "0-" bandına tam bir dosya döndürülür (aralıklar toplanmaz, ancak sırayla sıralanır). Böyle bir saldırıda trafik artışının derecesi 53 ile 7432 kat arasında değişmektedir.
Çalışma 13 CDN'nin davranışını inceledi: Akamai, Alibaba Cloud, Azure, CDN77, CDNsun, Cloudflare, CloudFront, Fastly, G-Core Labs, Huawei Cloud, KeyCDN, StackPath ve Tencent Cloud.
Araştırma ekibi, "Ne yazık ki, onlara birçok kez e-posta göndermemize ve müşteri hizmetleriyle iletişim kurmaya çalışmamıza rağmen, StackPath herhangi bir geri bildirim sağlamadı," dedi.
“Genel olarak, güvenlik açıklarını sorumlu bir şekilde bildirmek ve azaltma çözümleri sağlamak için elimizden gelenin en iyisini yaptık. İlgili CDN sağlayıcılarının, bu belge yayınlanmadan önce azaltma tekniklerini uygulamak için yaklaşık yedi ayı vardır. "
İncelenen tüm CDN'ler, hedef sunucuya ilk saldırı türüne izin verdi. CDN saldırısının ikinci versiyonunun 6 hizmete maruz kaldığı ortaya çıktı; bunlardan dördü saldırıda arayüz görevi görebiliyor (CDN77, CDNsun, Cloudflare ve StackPath) ve üçü arka uç rolünde (Akamai, Azure ve StackPath).
En yüksek kazanç, Kademe başlığında 10'den fazla kademe belirtmenize olanak tanıyan Akamai ve StackPath'te elde edilir.
CDN sahiplerine şu konuda bilgi verildi: güvenlik açıklarının yaklaşık 7 ay önce ve bilgilerin kamuya açıklandığı tarihte, 12 CDN'den 13'si tespit edilen sorunları çözmüş veya çözme isteklerini ifade etmiştir.
kaynak: https://www.liubaojun.org