CDN保护网站防御攻击效果怎么样
CDN具有通过缓存客户端经常请求的资源来减少使用其服务的原始服务器上的通信量的特性。这样做的直接效果是提高了性能。CDN体系结构中的缓存系统通常分散在较大的地理区域中,以实现更好的分发,它存储源服务器中资源的最新版本,并在客户端请求时将其交付给客户端。
这些中间系统处理请求并将其转发到目的地,等待响应和资源的新版本(如果存在)。使用标识新变体的缓存键可以确定资源的新鲜度。
CPDoS在CDN的中间缓存系统级别工作,该缓存系统接收并存储由错误的HTTP请求标头引起的错误页面。
结果,尝试访问相同资源的用户将收到缓存的错误页面,因为这是原始服务器在请求后返回的带有错误标头的内容。
攻击的变化
需了解更多服务器的请咨询易盾凌风 企业咨询:3008731709
以下服务器配置供您参考,可以根据您的需求变更硬件:
CPU:E5-2620(6核12线程)
内存: 16G
硬盘:HDD:1T
带宽:10M独享
防护:10G
IP:2个
科隆应用科学大学和德国汉堡大学的Hoai Viet Nguyen,Luigi Lo Iacono和Hannes Federrath描述了CPDoS攻击的三种变化:
HTTP标头超大(HHO)
HTTP元字符(HMC)
HTTP方法覆盖(HMO)
使用HHO类型的CPDoS攻击,威胁参与者会利用为HTTP请求标头设置的大小限制中间系统和Web服务器。
如果缓存系统接受的请求标头大小大于原始服务器所定义的大小,则攻击者可以使用超大请求密钥或多个标头来制作请求。
在这种情况下,缓存将转发带有多个标头的请求,然后网络服务器将阻止该请求,并返回一个400 Bad Request错误页面进行缓存。以后对相同资源的请求将获得错误页面。
为了更好地说明这种情况,研究人员制作了一个视频,目标是托管在Amazon CloudFront上的应用程序。
在攻击过程中,错误页面将有选择地替换资源,直到整个网页都不可用为止。
HTTP元字符(HMC),CPDoS攻击的第二种变体与HHO类似,但利用了有害的元字符。这些是任何“控制字符,例如换行符/回车符(' n)',换行符(' r')或铃声(' a')”。
再次,高速缓存系统执行其工作并转发从客户端收到的请求。当它到达源服务器时,它可能被分类为恶意程序,并生成一条错误消息,该消息被缓存并呈现给客户端而不是请求的资源。
该方法超越了攻击(HMO),这是CPDoS的第三种变体,它从仅支持GET和POST HTTP请求方法的中间系统(例如代理,负载平衡器,缓存,防火墙)中获利。
这转化为阻止其他HTTP请求方法。一个提供Web应用程序指示信息以替换标头中支持的HTTP方法的Web框架允许绕过安全策略并提供不同的安全策略,例如DELETE。
在上图中,GET请求被覆盖,原始服务器上的Web应用将其解释为POST,并返回相应的响应。
“让我们假设目标Web应用程序未对/index.html上的POST实现任何业务逻辑。在这种情况下,诸如Play Framework 1之类的Web框架会 返回一条错误消息,状态码为404 Not Found。”
结果是该错误消息被缓存并用于/index.html资源的后续有效GET请求。
下面的视频演示了CPDoS攻击的这种变体,它使用邮递员工具来测试Web服务,从而阻止了对目标网站主页的访问。
影响深远
CDN在较大的地理位置上运行,CPDoS攻击生成的错误页面可以到达多个缓存服务器位置。
但是,研究人员发现,并非所有边缘服务器都受到此威胁的影响,并且某些客户端仍将从原始服务器接收有效页面。
为了进行测试,他们使用了TurboBytes Pulse(全局DNS,HTTP和traceroute测试工具)和网站速度测量服务。
德国(法兰克福)针对同一国家(科隆)的目标发起的攻击影响了整个欧洲和亚洲某些地区的缓存服务器。
解决问题
这种DoS攻击的标头超大(HHO)和元字符(HHM)变体是可能的,因为它与标准HTTP实现有所不同,默认情况下,标准HTTP实现不允许存储包含错误代码的响应。
“ Web缓存标准仅允许缓存错误代码'404 Not Found','405 Method Not Allowed','410 Gone'和'501 Not Implemented',”研究人员在致力于CPDoS的网站上写道。
阻止DoS受到这些攻击的最简单方法是遵守HTTP标准并仅缓存上面定义的错误页面。
但是,使用错误的状态代码来处理错误也会启用这些攻击,因为内容提供商会使用更通用的攻击。例如,“ 400错误请求”用于声明过大的标头。正确的是“ 431请求标头字段太大”,研究人员分析的任何系统都未缓存它。
针对HHO和HHM CPDoS变体的全面解决方案是将错误页面完全排除在缓存之外。
保护措施还包括在缓存前面设置Web应用程序防火墙(WAF),以捕获试图到达原始服务器的恶意内容。
存在于多个CDN上的问题
从三位学者进行的测试来看,亚马逊的CloudFront CDN似乎最容易受到CPDoS威胁。
在研究人员测试的25个流量服务器和Web框架中,只有其中三个的HTTP实施不受CPDoS攻击:Apache TS,Google Cloud Storage和Squid。
已将问题报告给受影响的各方,其中一些人发布了补丁或以其他方式纠正了它们。
Microsoft更新了IIS Server的修复程序,并于6月发布了有关漏洞的详细信息(CVE-2019-0941)。Play Framework还在1.5.3和1.4.6版本中针对HMO方法修补了其产品。
但是,并非所有供应商的反应都相同。与Flask开发人员进行了多次联系,但没有回复,并且对CPDoS的弹性尚不清楚。
特网云服务器配备纯SSD架构打造的高性能存储,旨在为用户提供优质、高效、弹性伸缩的云计算服务。云服务器采用由数据切片技术构建的三层存储功能,切实保护客户数据的安全。同时可弹性扩展的资源用量,为客户业务在高峰期的顺畅保驾护航;灵活多样的计费方式,为客户最大程度的节省IT运营成本,提高资源的有效利用率。
PHP虚拟主机国外云主机 台湾云主机香港云主机
活动1:特网云 云主机 云虚拟主机优惠码6折 低至68元/年 多个国家地区
活动2:特网云热门云服务器低至168元/年,爆款折扣专区精选特网云多款热门云产品,低至5折,助力企业快速上云
成为特网云分享大使,最高可享10%返现。
活动详细:https://www.56dr.cn/act/summer2020/
==========================================
8折优惠 稳定、安全、弹性、高性能的云端计算服务,实时满足您的多样性业务需求
网站无需备案即可运行,为您省去繁杂的备案手续,省时又省力
特网云 云主机 云虚拟主机优惠码6折 低至68元/年 多个国家地区
================================
特网云 优惠优惠 服务器租用美洲 欧洲 亚洲 资源多 低至280元起 100M宽带独享
独立服务器 香港站群服务器 香港将军澳服务器 香港九仓服务器 香港高防服务器 香港动力线 韩国服务器 台湾服务器 菲律宾服务器新加坡服务器 日本CN2服务器 日本东京服务器 日本站群服务器 台湾站群服务器 高防美国服务器纽约 圣何塞 阿姆斯特 SK高防芝加哥 SK高防丹佛 SK高防洛杉矶SK高防
堪萨斯 洛杉矶 芝加哥 达拉斯 迈阿密 香港阿里云 韩国CN2 新加坡 香港站群 香港将军澳 香港九仓 香港高防 香港动力线 韩国电信 台湾菲律宾日本日本东京日本站群台湾站群
==========================================
https://www.56dr.cn/baremetal/buy.html
==========================================
云虚拟主机 基于云计算的虚拟主机服务保最稳定、安全、高效的系统运行
国内BGP 香港国际 新加坡 俄罗斯 德国 中国大陆 香港 日本 韩国 美国 英国 韩国法国
http://www.56dr.cn/host/buy.html
==========================================
国内云主机 弹性 现在注册,即刻为您提供最佳上云实践机会
美国 台湾 韩国 中国大连 中国沈阳 中国广州 中国内蒙 中国北京 中国香港 中国南京 中国武汉 中国深圳
==========================================
https://www.56dr.cn/server/buy.html
==========================================
==========================================
亚洲 美洲 东南亚 欧洲 全球CDN加速 按量计费 提供稳定快速的网络访问质量
==========================================
https://www.56dr.cn/cdn/
==========================================
特网云10年专业是国内领先的企业级云计算服务提供商!云计算解决方案,安全,稳定,性价比高
==========================================
保护的还不错!
页:
[1]