CloudFront、Cloudflare、Fastly、Akamai及其他CDN服務(wù)提供商都是新的CPDoSWeb緩存中毒攻擊的影響。

科隆工業(yè)大學(xué)（THKoln）本周，兩位學(xué)者披露了一種新型Web攻擊可以毒害內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN），從而緩存和生成錯(cuò)誤的頁(yè)面，而不是合法的網(wǎng)站。

這種新攻擊被稱為CPDoS(拒絕服務(wù)緩存中毒)，在實(shí)際環(huán)境下被認(rèn)為是可行的三種變體(這與大多數(shù)其他變體相比)Web不同的緩存攻擊)。

CPDoS攻擊是如何實(shí)施的？

CPDoS對(duì)現(xiàn)代的攻擊Web兩部分:(1)Web分發(fā)網(wǎng)絡(luò)的服務(wù)器和(2)內(nèi)容。

Web服務(wù)器存儲(chǔ)原始網(wǎng)站及其內(nèi)容，CDN存儲(chǔ)網(wǎng)站的緩存副本，僅按特定時(shí)間間隔刷新。

盡管CDN它的角色很簡(jiǎn)單，但它是現(xiàn)代互聯(lián)網(wǎng)的重要組成部分，因?yàn)樗鼈兛梢詼p少Web服務(wù)器負(fù)擔(dān)。CDN網(wǎng)站副本可以提供網(wǎng)站副本，直到CDN直到新版本更新自己，而不是Web服務(wù)器反復(fù)計(jì)算相同的用戶請(qǐng)求。

CDN廣泛使用CDN系統(tǒng)的任何攻擊都可能嚴(yán)重?fù)p害網(wǎng)站的可用性，從而嚴(yán)重?fù)p害盈利能力。

在這種情況下，CPDoS工作方下特點(diǎn)：

攻擊者直到他的站，直到他的要求生成新的CDN請(qǐng)求條目。

攻擊者的請(qǐng)求是惡意的，超大的HTTP頭。

CDN允許該頭轉(zhuǎn)移到合法網(wǎng)站進(jìn)行處理CDN生成要緩存的網(wǎng)頁(yè)。

尺寸超大的HTTP頭導(dǎo)致Web服務(wù)器崩潰。

生成錯(cuò)誤頁(yè)面的服務(wù)器（“400BadRequest”錯(cuò)誤）。

錯(cuò)誤頁(yè)面緩存CDN上

其他訪問該網(wǎng)站的用戶將獲得錯(cuò)誤的頁(yè)面，而不是實(shí)際網(wǎng)站。

緩存的錯(cuò)誤會(huì)傳播到CDN其他網(wǎng)絡(luò)節(jié)點(diǎn)在合法網(wǎng)站上造成虛假故障。

據(jù)研究團(tuán)隊(duì)聲稱，CPDoS攻擊有三種變體，這取決于攻擊者決定使用它們HTTP頭類型：

HTTPHeaderOversize（HHO）

HTTP元字符（HMC）

HTTP方法重載（HMO）

本文不討論每次攻擊的技術(shù)差異。欲了解更多詳細(xì)信息和演示，請(qǐng)?jiān)L問本網(wǎng)站（https://cpdos.org/），或閱讀研究人員CPDoS白皮書（https://cpdos.org/paper/Your_Cache_Has_Fallen__Cache_Poisoned_Denial_of_Service_Attack__Preprint_.pdf）。

CPDOS攻擊被認(rèn)為是可行的

THKoln團(tuán)隊(duì)在研究CPDoS在攻擊的實(shí)際可行性期間，他們?cè)噲D托管多個(gè)家庭CDN提供商網(wǎng)絡(luò)上的測(cè)試網(wǎng)站進(jìn)行了廣泛的緩存中毒攻擊。

例如，下圖顯示了攻擊者對(duì)合法網(wǎng)站的危險(xiǎn)符號(hào)（危險(xiǎn)符號(hào)）CDN服務(wù)器(藍(lán)色標(biāo)記)發(fā)動(dòng)攻擊，然后將緩存錯(cuò)誤頁(yè)面?zhèn)鬏數(shù)狡渌?yè)面CDN服務(wù)器(紅色標(biāo)記)毒害CDN大多數(shù)提供商網(wǎng)絡(luò)。

上述攻擊等攻擊會(huì)延長(zhǎng)合法網(wǎng)站的停機(jī)時(shí)間，給網(wǎng)站所有者造成經(jīng)濟(jì)損失。

好消息是，并非所有的Web服務(wù)器（HTTP協(xié)議實(shí)現(xiàn))和CDN網(wǎng)絡(luò)容易受到攻擊。

根據(jù)研究人員的測(cè)試，下表顯示了哪些服務(wù)器 CDN組合易受攻擊。

有緩解措施

幸運(yùn)的是，目前有對(duì)付CPDoS緩解攻擊。最簡(jiǎn)單的解決方案是網(wǎng)站所有者配置它CDN默認(rèn)情況下不緩存服務(wù)HTTP錯(cuò)誤頁(yè)面。

許多CDN服務(wù)提供商在儀表板中包含此類設(shè)置，因此采取此措施并不難。

假如網(wǎng)站所有者在CDNWeb儀表板中沒有控制器來禁止錯(cuò)誤頁(yè)面的緩存，可以添加到每個(gè)錯(cuò)誤頁(yè)面類型中“Cache-Control:no-store”HTTP頭，從服務(wù)器的配置文件內(nèi)部禁用該功能。

對(duì)付CPDoS更復(fù)雜的攻擊解決方案是CDN供應(yīng)商本身可能需要改變產(chǎn)品的工作方式。

據(jù)研究團(tuán)隊(duì)稱，一些研究團(tuán)隊(duì)聲稱CDN提供商之所以容易受到影響CPDoS攻擊是因?yàn)樗麄儧]有遵循互聯(lián)網(wǎng)緩存協(xié)議。

研究小組說：“Web只允許緩存標(biāo)準(zhǔn)[CDN]404緩存錯(cuò)誤代碼NotFound、405MethodNotAllowed、410Gone和501NotImplemented。”他指出CDN不應(yīng)該緩存CPDoS攻擊生成的“400BadRequest”錯(cuò)誤頁(yè)面。

他們說：“因此，按照HTTP標(biāo)準(zhǔn)的策略來緩存錯(cuò)誤頁(yè)面是避免CPDoS攻擊的第一步。”

這種方法比較復(fù)雜，需要很多CDN提供商的后端做一些工作。在此之前，第一個(gè)對(duì)策更容易實(shí)施。

由于CPDoS事實(shí)上，攻擊是有可能的大多數(shù)網(wǎng)站所有者應(yīng)該能夠保護(hù)他們的服務(wù)器免受任何可能的濫用。

研究人員警告網(wǎng)站管理員不要忽視這個(gè)問題。根據(jù)他們的測(cè)試，30%是30%AlexaTop500網(wǎng)站、10%的美國(guó)國(guó)防部域名以及從谷歌BigQuery存檔獲得的3.65億個(gè)URL樣本中16%的URL可能容易受到CPDoS攻擊。