久久久久人妻一区精品,久久精品国产亚洲av不卡,少妇激情A∨一区二区三区

什么是CPDoS攻擊以及CPDoS攻擊如何工作？

發(fā)布時(shí)間：2019-10-28 點(diǎn)擊數(shù)：1652

最近又一種攻擊方式威脅這我們的網(wǎng)絡(luò)安全，CPDoS攻擊，針對(duì)CDN的一種攻擊方式，可能很多人對(duì)這個(gè)并不是很了解，接下來(lái)小編給大家分享下什么是CPDoS攻擊以及CPDoS攻擊如何工作？

CPDoS攻擊的原理

德國(guó)的一組網(wǎng)絡(luò)安全研究人員最近發(fā)現(xiàn)了一種針對(duì)網(wǎng)絡(luò)緩存系統(tǒng)的新的緩存中毒攻擊，攻擊者可以使用該攻擊來(lái)迫使目標(biāo)站點(diǎn)向大多數(shù)訪問(wèn)者提供錯(cuò)誤頁(yè)面，而不是合法內(nèi)容或資源。

此問(wèn)題影響反向代理緩存系統(tǒng)（例如Varnish）以及一些廣泛使用的內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）服務(wù)，包括Amazon CloudFront，Cloudflare，F(xiàn)astly，Akamai和CDN77。

簡(jiǎn)而言之，內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）是一組地理分布的服務(wù)器，位于原始服務(wù)器和網(wǎng)站訪問(wèn)者之間，以優(yōu)化網(wǎng)站的性能。

CDN服務(wù)僅存儲(chǔ)/緩存來(lái)自源服務(wù)器的靜態(tài)文件（包括HTML頁(yè)面，java文件，樣式表，圖像和視頻），并將它們更快地傳遞給訪問(wèn)者，而無(wú)需一次又一次地返回源。服務(wù)器。

每個(gè)地理位置分散的CDN服務(wù)器還共享緩存文件的副本，并根據(jù)其位置將其提供給訪問(wèn)者。

通常，在定義的時(shí)間或手動(dòng)清除之后，CDN服務(wù)器通過(guò)從原始服務(wù)器檢索每個(gè)網(wǎng)頁(yè)的新更新副本并將其存儲(chǔ)以供將來(lái)請(qǐng)求來(lái)刷新緩存。

CPDoS攻擊如何處理CDN？

這種攻擊稱(chēng)為CPDoS，是緩存中毒拒絕服務(wù)的縮寫(xiě)。 CDN中間服務(wù)器配置不正確，以緩存包含原始服務(wù)器返回的錯(cuò)誤響應(yīng)的Web資源或頁(yè)面。

根據(jù)三位德國(guó)學(xué)者（Hoai Viet Nguyen，Luigi Lo Iacono和Hannes Federrath）的說(shuō)法，CPDoS攻擊通過(guò)發(fā)送包含格式錯(cuò)誤的標(biāo)頭的HTTP請(qǐng)求來(lái)威脅Web上Web資源的可用性。

“當(dāng)攻擊者可以生成可緩存資源的HTTP請(qǐng)求時(shí)，就會(huì)出現(xiàn)問(wèn)題，該請(qǐng)求包含不正確的字段，這些字段會(huì)被緩存系統(tǒng)忽略，但在原始服務(wù)器處理它時(shí)會(huì)引發(fā)錯(cuò)誤。”

CPDoS攻擊如何工作：

遠(yuǎn)程攻擊者通過(guò)發(fā)送包含格式錯(cuò)誤的標(biāo)頭的HTTP請(qǐng)求來(lái)請(qǐng)求目標(biāo)網(wǎng)站的網(wǎng)頁(yè)。

如果中間CDN服務(wù)器沒(méi)有所請(qǐng)求資源的副本，它將把請(qǐng)求轉(zhuǎn)發(fā)到源Web服務(wù)器，并且源Web服務(wù)器將由于格式化錯(cuò)誤而崩潰。

因此，原始服務(wù)器然后返回一個(gè)錯(cuò)誤頁(yè)面，該頁(yè)面最終由緩存服務(wù)器存儲(chǔ)，而不是由請(qǐng)求的資源存儲(chǔ)?，F(xiàn)在，每當(dāng)合法訪問(wèn)者嘗試獲取目標(biāo)資源時(shí)，他們都將獲取緩存的錯(cuò)誤頁(yè)面，而不是原始內(nèi)容。

CDN服務(wù)器還將相同的錯(cuò)誤頁(yè)面?zhèn)鞑サ紺DN網(wǎng)絡(luò)的其他邊緣節(jié)點(diǎn)，從而使受害者網(wǎng)站的目標(biāo)資源不可用。

值得注意的是，一個(gè)簡(jiǎn)單的請(qǐng)求足以用錯(cuò)誤頁(yè)面替換緩存中的實(shí)際內(nèi)容。這意味著此類(lèi)請(qǐng)求仍低于Web應(yīng)用程序防火墻（WAF）和DDoS保護(hù)的檢測(cè)閾值，尤其是當(dāng)它們掃描大量不規(guī)則的網(wǎng)絡(luò)流量時(shí)。 ”

此外，cpdo可用于阻止通過(guò)緩存分發(fā)的補(bǔ)丁程序或固件更新，從而防止修復(fù)設(shè)備和軟件中的漏洞。攻擊者還可以在關(guān)鍵任務(wù)網(wǎng)站（例如，在線銀行或官方政府網(wǎng)站）上禁用重要的安全警報(bào)或消息。 ”

3種CPDoS攻擊

要對(duì)CDN執(zhí)行此緩存中毒攻擊，有三種類(lèi)型的HTTP請(qǐng)求：

HTTP頭文件大小太大（HHO）-如果Web應(yīng)用程序使用的緩存所接受的頭大小限制大于原始服務(wù)器的緩存，則HTTP請(qǐng)求包含非常大的頭文件。

HTTP元字符（HMC）-此攻擊不會(huì)發(fā)送太大的標(biāo)頭，而是嘗試使用包含有害元字符的請(qǐng)求標(biāo)頭繞過(guò)緩存，這些標(biāo)頭包含有害的元字符，例如換行/回車(chē)（\ n），換行（\ r）或鈴聲（\一種）。

HTTP方法覆蓋（HMO）-使用HTTP覆蓋標(biāo)頭繞過(guò)禁止刪除請(qǐng)求的安全策略。

CDN服務(wù)容易受到CPDoS攻擊

研究人員對(duì)Web緩存系統(tǒng)和HTTP實(shí)現(xiàn)的不同組合進(jìn)行了三種攻擊，發(fā)現(xiàn)亞馬遜的CloudFront CDN最容易受到CPDoS攻擊。

測(cè)試結(jié)果如下：

該團(tuán)隊(duì)于2019年2月19日向受影響的HTTP實(shí)施供應(yīng)商和緩存提供商報(bào)告了他們的發(fā)現(xiàn)。

Amazon Web Services（AWS）團(tuán)隊(duì)確認(rèn)了CloudFront上的漏洞，并通過(guò)默認(rèn)狀態(tài)代碼為400 Bad Request禁用錯(cuò)誤頁(yè)面來(lái)解決了該問(wèn)題。

微軟還在其2019年6月的每月安全更新中承認(rèn)了此問(wèn)題，并發(fā)布了名為CVE-2019-0941的漏洞緩解更新。

Play框架還通過(guò)限制Play框架1.5.3和1.4.6版中的X-HTTP-Method-Override頭文件的影響來(lái)確認(rèn)所報(bào)告的問(wèn)題，并為CPDoS攻擊修補(bǔ)了產(chǎn)品。

以上就是全網(wǎng)數(shù)據(jù)小編對(duì)于CPDOS攻擊的分享，所以大家可以在這方面可以多加防范，或者可以選擇全網(wǎng)數(shù)據(jù)這種比較有實(shí)力的服務(wù)商合作，全網(wǎng)數(shù)據(jù)機(jī)房有專(zhuān)業(yè)技術(shù)團(tuán)推7x24小時(shí)提供服務(wù)，防御措施齊全，可以第一時(shí)間發(fā)現(xiàn)攻擊并加以處理，避免造成更大的損失，全網(wǎng)數(shù)據(jù)專(zhuān)業(yè)提供深圳服務(wù)器租用，深圳服務(wù)器托管，深圳主機(jī)租用，云服務(wù)器租用等服務(wù)，歡迎咨詢客服了解詳情。

上一篇：對(duì)服務(wù)器租用進(jìn)行維護(hù)的方法？

下一篇：服務(wù)器租用前有幾種騙局是我們需要了解的