美国服务器CPDoS攻击 是之前德国网络安全研究人员发现的一种针对网络缓存系统的缓存攻击,攻击者可以利用这种攻击迫使目标网站向大多数访问者提供错误页面,而不是合法的内容或资源。美国服务器CPDoS攻击会影响到Varnish等反向代理缓存系统,以及一些广泛使用的内容分发网络CDN服务。
内容分发网络CDN服务是一组地理上分布的服务器,它们位于搭建网站的美国服务器主机和访问者之间,以优化网站的性能。CDN服务只是简单地存储/缓存来自源美国服务器主机的静态文件,包括HTML页面、java文件、样式表、图像和视频等,并更快地将数据交付给访问者,而无需一次又一次地返回到源服务器。
通常,在定义时间或手动清除之后,CDN服务器通过从原始服务器检索每个WEB页面的新更新副本来刷新缓存,并将数据存储起来以备将来的请求。而导致CDN中间服务器被错误配置为缓存WEB资源或页面,其中包含原始服务器返回的错误响应的攻击,就称之为CPDoS攻击,是缓存中毒拒绝服务的缩写。
根据三位德国学者的说法,CPDoS攻击仅通过发送一个包含格式错误的标头的HTTP请求,就刻意威胁到网站WEB资源的可用性,原文:“当攻击者可以为可缓存的资源生成HTTP请求时,问题就出现了,其中的请求包含不准确的字段,这些字段被缓存系统忽略,但是在原始服务器处理时引发错误。”
美国服务器CPDoS攻击的工作原理:
远程攻击者通过发送包含格式错误的标头的HTTP请求来请求目标网站的WEB页面。如果中间的CDN服务器没有所请求资源的副本,它将把请求转发给源WEB服务器,而源WEB服务器将由于格式错误而崩溃。
因此,原始服务器随后返回一个错误页面,该错误页面最终由缓存服务器存储,而不是由请求的资源存储。现在,每当合法的访问者试图获取目标资源时,他们将获得缓存的错误页面,而不是原始内容。CDN服务器也会将相同的错误页面传播到CDN网络的其他边缘节点,导致受害者网站的目标资源不可用。
值得注意的是,一个简单的请求就足以用一个错误页面替换缓存中的真实内容。这意味着这样的请求仍然低于WEB应用程序防火墙WAFs和DDoS保护的检测阈值,特别是当它们扫描大量不规则网络流量时。
此外,可以利用CPDoS攻击来阻止通过缓存分发的补丁或固件更新,从而防止设备和软件中的漏洞被修复,攻击者还可以禁用美国服务器关键任务网站,如网上银行或官方网站上的重要安全警报或消息。
要对CDN执行这种缓存中毒攻击,有三种类型的HTTP请求:
1)HTTP头文件大小过大/HHO:在WEB应用程序使用比原始服务器接受更大的头文件大小限制的缓存的情况下,包含超大头文件的HTTP请求。
2)HTTP元字符/HMC:这种攻击不发送过大的报头,而是尝试使用包含有害元字符的请求报头绕过缓存。
3)HTTP方法覆盖/HMO:使用HTTP覆盖头绕过禁止删除请求的安全策略。
以上就是关于美国服务器CPDoS攻击原理介绍,希望能够帮助美国服务器用户更好的了解这种网络攻击的工作原理。
美联科技已与全球多个国家的顶级数据中心达成战略合作关系,为互联网外贸行业、金融行业、IOT行业、游戏行业、直播行业、电商行业等企业客户等提供一站式安全解决方案。关注美联科技,了解更多IDC资讯!
