有關(guān)一類新的Web緩存中毒攻擊的詳細(xì)信息已經(jīng)出現(xiàn)，這些攻擊可用于拒絕用戶訪問通過內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）分發(fā)的資源。

該新方法名為“緩存中毒拒絕服務(wù)（CPDoS）”，它具有多種變體，可以通過發(fā)送帶有格式錯(cuò)誤的標(biāo)頭的HTTP請求來工作。

通過緩存服務(wù)器進(jìn)行DoS

CDN具有通過緩存客戶端經(jīng)常請求的資源來減少使用其服務(wù)的原始服務(wù)器上的通信量的特性。這樣做的直接效果是提高了性能。

CDN體系結(jié)構(gòu)中的緩存系統(tǒng)通常分散在較大的地理區(qū)域中，以實(shí)現(xiàn)更好的分發(fā)，它存儲(chǔ)源服務(wù)器中資源的最新版本，并在客戶端請求時(shí)將其交付給客戶端。

這些中間系統(tǒng)處理請求并將其轉(zhuǎn)發(fā)到目的地，等待響應(yīng)和資源的新版本（如果存在）。使用標(biāo)識(shí)新變體的緩存鍵可以確定資源的新鮮度。

CPDoS在CDN的中間緩存系統(tǒng)級別工作，該緩存系統(tǒng)接收并存儲(chǔ)由錯(cuò)誤的HTTP請求標(biāo)頭引起的錯(cuò)誤頁面。

結(jié)果，嘗試訪問相同資源的用戶將收到緩存的錯(cuò)誤頁面，因?yàn)檫@是原始服務(wù)器在請求后返回的帶有錯(cuò)誤標(biāo)頭的內(nèi)容。

攻擊的變化

科隆應(yīng)用科學(xué)大學(xué)和德國漢堡大學(xué)的Hoai Viet Nguyen，Luigi Lo Iacono和Hannes Federrath描述了CPDoS攻擊的三種變化：

• HTTP標(biāo)頭超大（HHO）
• HTTP元字符（HMC）
• HTTP方法覆蓋（HMO）

使用HHO類型的CPDoS攻擊，威脅參與者會(huì)利用為HTTP請求標(biāo)頭設(shè)置的大小限制中間系統(tǒng)和Web服務(wù)器。

如果緩存系統(tǒng)接受的請求標(biāo)頭大小大于原始服務(wù)器所定義的大小，則攻擊者可以使用超大請求密鑰或多個(gè)標(biāo)頭來制作請求。

在這種情況下，緩存將轉(zhuǎn)發(fā)帶有多個(gè)標(biāo)頭的請求，然后網(wǎng)絡(luò)服務(wù)器將阻止該請求，并返回一個(gè)400 Bad Request錯(cuò)誤頁面進(jìn)行緩存。以后對相同資源的請求將獲得錯(cuò)誤頁面。

為了更好地說明這種情況，研究人員制作了一個(gè)視頻，目標(biāo)是托管在Amazon CloudFront上的應(yīng)用程序。

在攻擊過程中，錯(cuò)誤頁面將有選擇地替換資源，直到整個(gè)網(wǎng)頁都不可用為止。

HTTP元字符（HMC），CPDoS攻擊的第二種變體與HHO類似，但利用了有害的元字符。這些是任何“控制字符，例如換行符/回車符（'\ n）'，換行符（'\ r'）或鈴聲（'\ a'）”。

再次，高速緩存系統(tǒng)執(zhí)行其工作并轉(zhuǎn)發(fā)從客戶端收到的請求。當(dāng)它到達(dá)源服務(wù)器時(shí)，它可能被分類為惡意程序，并生成一條錯(cuò)誤消息，該消息被緩存并呈現(xiàn)給客戶端而不是請求的資源。

該方法超越了攻擊（HMO），這是CPDoS的第三種變體，它從僅支持GET和POST HTTP請求方法的中間系統(tǒng)（例如代理，負(fù)載平衡器，緩存，防火墻）中獲利。

這轉(zhuǎn)化為阻止其他HTTP請求方法。一個(gè)提供Web應(yīng)用程序指示信息以替換標(biāo)頭中支持的HTTP方法的Web框架允許繞過安全策略并提供不同的安全策略，例如DELETE。

在上圖中，GET請求被覆蓋，原始服務(wù)器上的Web應(yīng)用將其解釋為POST，并返回相應(yīng)的響應(yīng)。

“讓我們假設(shè)目標(biāo)Web應(yīng)用程序未對/index.html上的POST實(shí)現(xiàn)任何業(yè)務(wù)邏輯。在這種情況下，諸如Play Framework 1之類的Web框架會(huì) 返回一條錯(cuò)誤消息，狀態(tài)碼為404 Not Found。”

結(jié)果是該錯(cuò)誤消息被緩存并用于/index.html資源的后續(xù)有效GET請求。

下面的視頻演示了CPDoS攻擊的這種變體，它使用郵遞員  工具來測試Web服務(wù)，從而阻止了對目標(biāo)網(wǎng)站主頁的訪問。

影響深遠(yuǎn)

CDN在較大的地理位置上運(yùn)行，CPDoS攻擊生成的錯(cuò)誤頁面可以到達(dá)多個(gè)緩存服務(wù)器位置。

但是，研究人員發(fā)現(xiàn)，并非所有邊緣服務(wù)器都受到此威脅的影響，并且某些客戶端仍將從原始服務(wù)器接收有效頁面。

為了進(jìn)行測試，他們使用了TurboBytes Pulse（全局DNS，HTTP和traceroute測試工具）和網(wǎng)站速度測量服務(wù)。

德國（法蘭克福）針對同一國家（科隆）的目標(biāo)發(fā)起的攻擊影響了整個(gè)歐洲和亞洲某些地區(qū)的緩存服務(wù)器。

解決問題

這種DoS攻擊的標(biāo)頭超大（HHO）和元字符（HHM）變體是可能的，因?yàn)樗�與標(biāo)準(zhǔn)HTTP實(shí)現(xiàn)有所不同，默認(rèn)情況下，標(biāo)準(zhǔn)HTTP實(shí)現(xiàn)不允許存儲(chǔ)包含錯(cuò)誤代碼的響應(yīng)。

“ Web緩存標(biāo)準(zhǔn)僅允許緩存錯(cuò)誤代碼'404 Not Found'，'405 Method Not Allowed'，'410 Gone'和'501 Not Implemented'，”研究人員在致力于CPDoS的網(wǎng)站上寫道。

阻止DoS受到這些攻擊的最簡單方法是遵守HTTP標(biāo)準(zhǔn)并僅緩存上面定義的錯(cuò)誤頁面。

但是，使用錯(cuò)誤的狀態(tài)代碼來處理錯(cuò)誤也會(huì)啟用這些攻擊，因?yàn)閮?nèi)容提供商會(huì)使用更通用的攻擊。例如，“ 400錯(cuò)誤請求”用于聲明過大的標(biāo)頭。正確的是“ 431請求標(biāo)頭字段太大”，研究人員分析的任何系統(tǒng)都未緩存它。

針對HHO和HHM CPDoS變體的全面解決方案是將錯(cuò)誤頁面完全排除在緩存之外。

保護(hù)措施還包括在緩存前面設(shè)置Web應(yīng)用程序防火墻（WAF），以捕獲試圖到達(dá)原始服務(wù)器的惡意內(nèi)容。

存在于多個(gè)CDN上的問題

從三位學(xué)者進(jìn)行的測試來看，亞馬遜的CloudFront CDN似乎最容易受到CPDoS威脅。

在研究人員測試的25個(gè)流量服務(wù)器和Web框架中，只有其中三個(gè)的HTTP實(shí)施不受CPDoS攻擊：Apache TS，Google Cloud Storage和Squid。 

下表顯示了此類Web緩存系統(tǒng)和HTTP實(shí)現(xiàn)的組合受此類拒絕服務(wù)的影響.

已將問題報(bào)告給受影響的各方，其中一些人發(fā)布了補(bǔ)丁或以其他方式糾正了它們。

Microsoft更新了IIS Server的修復(fù)程序，并于6月發(fā)布了有關(guān)漏洞的詳細(xì)信息（CVE-2019-0941）。Play Framework還在1.5.3和1.4.6版本中針對HMO方法修補(bǔ)了其產(chǎn)品。 

但是，并非所有供應(yīng)商的反應(yīng)都相同。與Flask開發(fā)人員進(jìn)行了多次聯(lián)系，但沒有回復(fù)，并且對CPDoS的彈性尚不清楚。

亞馬遜的安全團(tuán)隊(duì)認(rèn)識(shí)到CloudFront的弱點(diǎn)，并默認(rèn)情況下停止使用狀態(tài)碼“ 400 Bad Request”緩存錯(cuò)誤頁面。但是，研究人員說，溝通主要是一種方式，因?yàn)樗麄儚奈词盏接嘘P(guān)緩解進(jìn)度的最新信息。

Hoai Viet Nguyen，Luigi Lo Iacono和Hannes Federrath在《您的緩存已下降：緩存中毒的拒絕服務(wù)攻擊》一文中詳細(xì)介紹了這種Web緩存中毒攻擊及其變化。（來源網(wǎng)絡(luò)）

本文鏈接：http://m.51huadong.com/cloundnews/11004045.html