CloudFront、Cloudflare、Fastly、Akamai及其他CDN服務(wù)提供商都受到新的CPDoS Web緩存中毒攻擊的影響。

科隆工業(yè)大學(xué)（TH Koln）的兩位學(xué)者本周披露了一種新型的Web攻擊，這種攻擊可以毒害內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN），從而緩存并生成錯誤頁面而非合法網(wǎng)站。

這種新攻擊被稱為CPDoS（緩存中毒的拒絕服務(wù)），它有三種變體，被認(rèn)為在實際環(huán)境下切實可行（這與大多數(shù)其他Web緩存攻擊不同）。

CPDoS攻擊是如何實施的？

CPDoS攻擊針對現(xiàn)代Web的兩個組成部分:（1）Web服務(wù)器和（2）內(nèi)容分發(fā)網(wǎng)絡(luò)。

Web服務(wù)器存儲原始網(wǎng)站及其內(nèi)容，而CDN存儲網(wǎng)站的緩存副本，該副本僅按特定的時間間隔來刷新。

盡管CDN扮演的角色很簡單，卻是現(xiàn)代互聯(lián)網(wǎng)的重要組成部分，因為它們可以減輕Web服務(wù)器的負(fù)擔(dān)。CDN可以為一些入站用戶提供網(wǎng)站副本，直到CDN以新版本更新自己為止，而不是Web服務(wù)器一再計算相同的用戶請求。

CDN被廣泛使用。針對CDN系統(tǒng)的任何攻擊都可能對網(wǎng)站的可用性造成嚴(yán)重破壞，因而對盈利能力造成嚴(yán)重破壞。

在這種情況下，CPDoS的工作方式具有如下特點：

攻擊者連接到網(wǎng)站，直到他的請求是生成新CDN條目的請求。

攻擊者的請求含有惡意、尺寸超大的HTTP頭。

CDN允許該頭傳遞到合法網(wǎng)站，以便可以對其進行處理，并為CDN生成要緩存的網(wǎng)頁。

尺寸超大的HTTP頭導(dǎo)致Web服務(wù)器崩潰。

服務(wù)器生成錯誤頁面（“400 Bad Request”錯誤）。

錯誤頁面緩存在CDN上

訪問該網(wǎng)站的其他用戶將獲得錯誤頁面，而不是實際網(wǎng)站。

緩存的錯誤會傳播到CDN網(wǎng)絡(luò)的其他節(jié)點，從而在合法網(wǎng)站造成虛假故障。

據(jù)研究團隊聲稱，CPDoS攻擊有三種變體，這取決于攻擊者決定使用的HTTP頭類型：

HTTP Header Oversize（HHO）

HTTP元字符（HMC）

HTTP方法重載（HMO）

我們不會討論每種攻擊的技術(shù)差異，因為這不在本文的討論范圍之內(nèi)。想了解更多詳細信息和演示，請訪問該網(wǎng)站（https://cpdos.org/），或閱讀研究人員的CPDoS白皮書（https://cpdos.org/paper/Your_Cache_Has_Fallen__Cache_Poisoned_Denial_of_Service_Attack__Preprint_.pdf）。

CPDOS攻擊被認(rèn)為切實可行

TH Koln團隊在研究CPDoS攻擊的實際可行性期間表示，他們設(shè)法對托管在多家CDN提供商的網(wǎng)絡(luò)上的一個測試網(wǎng)站進行了廣泛的緩存中毒攻擊。

比如說，下圖顯示了攻擊者（危險符號）對合法網(wǎng)站的CDN服務(wù)器（藍色標(biāo)記）發(fā)動攻擊，然后將緩存的錯誤頁面?zhèn)鞑サ狡渌鸆DN服務(wù)器（紅色標(biāo)記），毒害CDN提供商網(wǎng)絡(luò)的大部分。

諸如上述攻擊之類的攻擊會導(dǎo)致合法網(wǎng)站的停機時間延長，給網(wǎng)站所有者造成經(jīng)濟損失。

好消息是，并非所有的Web服務(wù)器（HTTP協(xié)議實現(xiàn)）和CDN網(wǎng)絡(luò)都易受攻擊。

據(jù)研究人員的測試顯示，下表顯示了哪些服務(wù)器+ CDN組合易受攻擊。

有緩解措施

幸好，目前有對付CPDoS攻擊的緩解措施。最簡單的解決辦法是，網(wǎng)站所有者配置其CDN服務(wù)，以便默認(rèn)情況下不緩存HTTP錯誤頁面。

許多CDN服務(wù)提供商在儀表板中含有此類設(shè)置，因此采取這個措施并不難。

如果網(wǎng)站所有者在CDN Web儀表板中沒有控件來禁用錯誤頁面的緩存，可以通過為每種錯誤頁面類型添加“Cache-Control: no-store”HTTP頭，從服務(wù)器的配置文件內(nèi)部禁用該功能。

對付CPDoS攻擊的更復(fù)雜解決方案在于CDN提供商本身，提供商可能需要改動產(chǎn)品的工作方式。

據(jù)研究團隊聲稱，一些CDN提供商之所以容易受到CPDoS攻擊，是由于它們并沒有遵循互聯(lián)網(wǎng)緩存協(xié)議。

研究團隊說：“Web緩存標(biāo)準(zhǔn)僅允許[CDN]緩存錯誤代碼404 Not Found、405 Method Not Allowed、410 Gone和501 Not Implemented。”他指出CDN不應(yīng)該緩存CPDoS攻擊生成的“400 Bad Request”錯誤頁面。

他們說：“因此，按照HTTP標(biāo)準(zhǔn)的策略來緩存錯誤頁面是避免CPDoS攻擊的第一步。”

采用這種方法較為復(fù)雜，需要在許多CDN提供商的后端做一些工作。在此之前，第一個對策比較容易實施。

由于CPDoS攻擊實際上確有可能，稍微花點力量，大多數(shù)網(wǎng)站所有者應(yīng)該能夠保護其服務(wù)器免受任何可能的濫用現(xiàn)象。

研究人員警告網(wǎng)站管理員切莫忽視這個問題。據(jù)他們的測試顯示，30%的Alexa Top 500網(wǎng)站、10%的美國國防部域名以及從谷歌Big Query存檔獲得的3.65億個URL樣本中16%的URL可能容易受到CPDoS攻擊。

本文鏈接：http://m.51huadong.com/cloundnews/11004136.html