??????? 美國(guó)獨(dú)立服務(wù)器的CPDoS攻擊是一種針對(duì)網(wǎng)絡(luò)緩存系統(tǒng)的攻擊類型,黑客可以通過(guò)利用這種攻擊類型來(lái)迫使目標(biāo)網(wǎng)站向大多數(shù)訪問(wèn)者提供錯(cuò)誤的頁(yè)面,而不是美國(guó)獨(dú)立服務(wù)器用戶指定的合法內(nèi)容或資源。CPDoS攻擊會(huì)影響到Varnish等反向代理緩存系統(tǒng),以及一些廣泛使用的內(nèi)容分發(fā)網(wǎng)絡(luò)CDN服務(wù)。本文小編就來(lái)介紹一下美國(guó)獨(dú)立服務(wù)器CPDoS的攻擊原理。
??????? 內(nèi)容分發(fā)網(wǎng)絡(luò)CDN服務(wù)是一組地理上分布的服務(wù)器,它們位于搭建網(wǎng)站的美國(guó)獨(dú)立服務(wù)器和訪客之間,以優(yōu)化網(wǎng)站的性能。CDN服務(wù)只是簡(jiǎn)單地存儲(chǔ)/緩存來(lái)自源美國(guó)獨(dú)立服務(wù)器的靜態(tài)文件,包括HTML頁(yè)面、java文件、樣式表、圖像和視頻等,并更快地將數(shù)據(jù)交付給訪問(wèn)者,而無(wú)需一次又一次地返回到源服務(wù)器。
??????? 通常,在定義時(shí)間或手動(dòng)清除之后,CDN服務(wù)器通過(guò)從原始美國(guó)獨(dú)立服務(wù)器檢索每個(gè)WEB頁(yè)面的新更新副本來(lái)刷新緩存,并將數(shù)據(jù)存儲(chǔ)起來(lái)以備將來(lái)的請(qǐng)求。而導(dǎo)致CDN中間服務(wù)器被錯(cuò)誤配置為緩存WEB資源或頁(yè)面,其中包含原始美國(guó)獨(dú)立服務(wù)器返回的錯(cuò)誤響應(yīng)的攻擊,就稱之為CPDoS攻擊,是緩存中毒拒絕服務(wù)的縮寫。
??????? 根據(jù)發(fā)現(xiàn)該攻擊的三位德國(guó)網(wǎng)絡(luò)安全研究人員的說(shuō)法,CPDoS攻擊僅通過(guò)發(fā)送一個(gè)包含格式錯(cuò)誤的標(biāo)頭的HTTP請(qǐng)求,就能刻意威脅到美國(guó)獨(dú)立服務(wù)器網(wǎng)站W(wǎng)EB資源的可用性,原文:“當(dāng)黑客可以為可緩存的資源生成HTTP請(qǐng)求時(shí),問(wèn)題就出現(xiàn)了,其中的請(qǐng)求包含不準(zhǔn)確的字段,這些字段被緩存系統(tǒng)忽略,但是在原始服務(wù)器處理時(shí)引發(fā)錯(cuò)誤。”
??????? CPDoS攻擊的工作原理:
??????? 遠(yuǎn)程黑客通過(guò)發(fā)送包含格式錯(cuò)誤的標(biāo)頭的HTTP請(qǐng)求來(lái)請(qǐng)求目標(biāo)美國(guó)獨(dú)立服務(wù)器網(wǎng)站的WEB頁(yè)面。如果中間的CDN服務(wù)器沒(méi)有所請(qǐng)求資源的副本,它將把請(qǐng)求轉(zhuǎn)發(fā)給源WEB服務(wù)器,而源WEB服務(wù)器將由于格式錯(cuò)誤而崩潰。
??????? 因此,原始美國(guó)獨(dú)立服務(wù)器隨后返回一個(gè)錯(cuò)誤頁(yè)面,該錯(cuò)誤頁(yè)面最終由緩存服務(wù)器存儲(chǔ),而不是由請(qǐng)求的資源存儲(chǔ)。現(xiàn)在,每當(dāng)合法的訪問(wèn)者試圖獲取目標(biāo)資源時(shí),他們將獲得緩存的錯(cuò)誤頁(yè)面,而不是原始內(nèi)容。CDN服務(wù)器也會(huì)將相同的錯(cuò)誤頁(yè)面?zhèn)鞑サ紺DN網(wǎng)絡(luò)的其他邊緣節(jié)點(diǎn),導(dǎo)致受害美國(guó)獨(dú)立服務(wù)器網(wǎng)站的目標(biāo)資源不可用。
??????? 值得注意的是,一個(gè)簡(jiǎn)單的請(qǐng)求就足以用一個(gè)錯(cuò)誤頁(yè)面替換緩存中的真實(shí)內(nèi)容,這意味著這樣的請(qǐng)求仍然低于美國(guó)獨(dú)立服務(wù)器WEB應(yīng)用程序防火墻WAFs和DDoS保護(hù)的檢測(cè)閾值,特別是當(dāng)它們掃描大量不規(guī)則網(wǎng)絡(luò)流量時(shí)。
??????? 此外還可以利用CPDoS攻擊來(lái)阻止通過(guò)緩存分發(fā)的補(bǔ)丁或固件更新,從而防止設(shè)備和軟件中的漏洞被修復(fù),黑客還可以禁用美國(guó)獨(dú)立服務(wù)器關(guān)鍵任務(wù)網(wǎng)站,如網(wǎng)上銀行或官方網(wǎng)站上的重要安全警報(bào)或消息。
??????? 要對(duì)美國(guó)獨(dú)立服務(wù)器的CDN執(zhí)行這種緩存中毒攻擊,有三種類型的HTTP請(qǐng)求:
HTTP頭文件大小過(guò)大/HHO HTTP元字符/HMC HTTP方法覆蓋/HMO
??????? 其中HTTP頭文件大小過(guò)大/HHO是在WEB應(yīng)用程序使用比原始美國(guó)獨(dú)立服務(wù)器接受更大的頭文件大小限制的緩存的情況下,包含超大頭文件的HTTP請(qǐng)求;而HTTP元字符/HMC這種攻擊不發(fā)送過(guò)大的報(bào)頭,而是嘗試使用包含有害元字符的請(qǐng)求報(bào)頭繞過(guò)緩存;HTTP方法覆蓋/HMO則是使用HTTP覆蓋頭繞過(guò)禁止刪除請(qǐng)求的美國(guó)獨(dú)立服務(wù)器安全策略。
??????? 以上內(nèi)容就是關(guān)于美國(guó)獨(dú)立服務(wù)器CPDoS攻擊原理介紹,希望能夠幫助美國(guó)獨(dú)立服務(wù)器用戶們更好的了解這種緩存攻擊的工作原理。
??????? 現(xiàn)在夢(mèng)飛科技合作的美國(guó)VM機(jī)房的美國(guó)獨(dú)立服務(wù)器所有配置都免費(fèi)贈(zèng)送防御值 ,可以有效防護(hù)網(wǎng)站的安全,以下是部分配置介紹:
| CPU | 內(nèi)存 | 硬盤 | 帶寬 | IP | 價(jià)格 | 防御 |
| E3-1230v3 | 16GB | 500GB?SSD | 1G無(wú)限流量 | 1個(gè)IP | 900/月 | 免費(fèi)贈(zèng)送1800Gbps?DDoS防御 |
| E3-1270v2 | 32GB | 500GB?SSD | 1G無(wú)限流量 | 1個(gè)IP | 1250/月 | 免費(fèi)贈(zèng)送1800Gbps?DDoS防御 |
| E3-1275v5 | 32GB | 500GB?SSD | 1G無(wú)限流量 | 1個(gè)IP | 1350/月 | 免費(fèi)贈(zèng)送1800Gbps?DDoS防御 |
| Dual?E5-2630L | 32GB | 500GB?SSD | 1G無(wú)限流量 | 1個(gè)IP | 1450/月 | 免費(fèi)贈(zèng)送1800Gbps?DDoS防御 |
??????? 夢(mèng)飛科技已與全球多個(gè)國(guó)家的頂級(jí)數(shù)據(jù)中心達(dá)成戰(zhàn)略合作關(guān)系,為互聯(lián)網(wǎng)外貿(mào)行業(yè)、金融行業(yè)、IOT行業(yè)、游戲行業(yè)、直播行業(yè)、電商行業(yè)等企業(yè)客戶等提供一站式安全解決方案。持續(xù)關(guān)注夢(mèng)飛科技官網(wǎng),獲取更多IDC資訊!
?
文章鏈接: http://m.qzkangyuan.com/28795.html
文章標(biāo)題:美國(guó)獨(dú)立服務(wù)器CPDoS攻擊原理介紹
文章版權(quán):夢(mèng)飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請(qǐng)注明來(lái)源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請(qǐng)聯(lián)系我們!
