新型DoS攻击或对使用了CDN的网站产生巨大威胁

admin
admin
admin
139580
文章
114
评论
2022年3月26日08:05:23评论92 views字数 2044阅读6分48秒阅读模式

新型DoS攻击或对使用了CDN的网站产生巨大威胁

在当今全球网络中CDN服务扮演着很重要的角色它的缓存系统可以极大缓解原网站的压力并给访问者提供更好的网络体验。

但近期有安全研究人员发现了一种针对CDN缓存功能的DoS攻击——CPDoS它有多种变体不过基本都是通过恶意的HTTP请求头来实现 在攻击成功后用户就无法正常访问那些使用了CDN的网站。

新型DoS攻击或对使用了CDN的网站产生巨大威胁

通过缓存服务器进行DoS

CPDoS瞄准了CDN中的缓存系统它会向目标网站发送一个包含恶意请求头的HTTP请求CDN接受到请求后便会直接转发给原网站并把原网站的响应缓存起来由于恶意请求头的存在原网站的响应往往是异常的但这并不影响CDN对这种异常响应进行缓存这就导致其他用户在访问同一个页面时会直接看到缓存中的异常响应这就是CPDoS攻击。

新型DoS攻击或对使用了CDN的网站产生巨大威胁

攻击的变种

来自科隆应用科学大学和德国汉堡大学的Hoai Viet Nguyen Luigi Lo Iacono和Hannes Federrath展示了CPDoS攻击的三种变体:

  • HTTP Header Oversize (HHO)

  • HTTP me ta Character (HMC)

  • HTTP Method Override (HMO)

在HHO类型的CPDoS攻击中攻击者主要利用服务器对HTTP请求头大小的限制来发起攻击。

如果CDN所转发的HTTP请求头大于原服务器定义的尺寸则攻击者可以通过发送包含多个巨大请求头的请求来发动攻击。

例如在下图CDN转发一个具有多个请求头的HTTP请求原服务器被成功阻塞返回一个400 Bad request错误页面被缓存系统所存储。

新型DoS攻击或对使用了CDN的网站产生巨大威胁

为了更好地说明这个场景研究人员还制作了一个视频针对一个托管在Amazon CloudFront上的应用发起测试。

https://vimeo.com/368153261

第二种HMC类型的CPDoS攻击是利用某些特殊字符来使服务器发生异常例如n、r、a等 当把这些字符塞入请求头时服务器也有可能发生异常返回错误页面接着被CDN缓存影响正常用户的访问。

新型DoS攻击或对使用了CDN的网站产生巨大威胁

而第三种HMO类型的CPDoS攻击是通过注入和原始请求不同的请求类型来转换请求类型使服务器无法处理请求从而返回异常结果这主要基于原服务器的安全策略有些服务器并不支持请求类型转换。

新型DoS攻击或对使用了CDN的网站产生巨大威胁

在上图中GET请求被转换为POST请求而原服务器又无法处理该页面的POST请求最终返回异常页面。

在错误页面被缓存后正常用户对于目标页面的GET请求都出现异常。

研究人员也使用了Postman来演示了这种功能。

https://vimeo.com/368153252

影响

CDN服务器往往会影响一大片区域(甚至跨国)而CPDoS攻击所生成的错误页面也往往会影响多个缓存服务器。

当然研究人员发现并不是所有的边缘服务器都受到这种攻击的影响一些用户仍然可收到来自原网站的正常页面。

在整个测试中研究人员使用了TurboBytes Pulse(全局DNS、HTTP和traceroute测试工具)和一个网站速度测试服务来统计结果。

最后发现来自德国(法兰克福)的针对科隆目标的CPDoS攻击影响了欧洲和亚洲部分地区的CDN服务器。

新型DoS攻击或对使用了CDN的网站产生巨大威胁

解决方法

要防御这种攻击对于CDN来说就最简单的方法就是只缓存404 405 410 501之类的常见的符合标准的错误页面。

当然 这也需要网站开发人员的配合切勿把所有错误都归类为同一个错误代码和页面。

此外还可以在WAF之类的安全设备上加强防御阻止恶意内容的通过。

CDN现状

从这三位研究人员进行的测试来看亚马逊的CloudFront CDN似乎是最容易受到CPDoS攻击的。

在研究人员测试的25种相关服务和产品中只有3种不受CPDoS攻击影响:Apache TS谷歌云存储和Squid。

新型DoS攻击或对使用了CDN的网站产生巨大威胁

微软在6月份更新了IIS服务并发布了关于该漏洞的详细信息(CVE-2019-0941Play framework也在版本1.5.3和1.4.6中针对HMO攻击进行了修复。

但并不是所有供应商的反应都很迅速,Flask的开发者就一直无回复。

亚马逊的安全团队也承认了CloudFront确实易受该攻击影响,并在默认情况下禁止缓存400 Bad Request错误页面。

Hoai Viet Nguyen、Luigi Lo Iacono和Hannes Federrath也在一篇题为Your Cache Has Fallen: Cache-Poisoned Denial-of-Service Attack的文章中详细介绍了该攻击。

他们也将在11月14日伦敦举行的第26届ACM计算机与通信安全(CCS)会议上发布报告。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3088.html
来源:https://www.bleepingcomputer.com/news/security/new-cpdos-web-cache-poisoning-attacks-impact-sites-using-popular-cdns/

新型DoS攻击或对使用了CDN的网站产生巨大威胁


本文始发于微信公众号(疯猫网络):新型DoS攻击或对使用了CDN的网站产生巨大威胁

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月26日08:05:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型DoS攻击或对使用了CDN的网站产生巨大威胁https://cn-sec.com/archives/507727.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息