Get best of the week

RangeAmp - एक नई भेद्यता DDoS हमलों को हज़ारों की संख्या में प्रवर्धन कारक के साथ अनुमति देती है

अभी कुछ दिनों पहले, चीनी वैज्ञानिकों के एक समूह ने एक भेद्यता की खोज की जो प्रवर्धन के साथ DDoS हमलों की अनुमति देता है। लेखक 43,000 के एक कारक के साथ एक हमले को अंजाम देने में कामयाब रहे ! एक नया हमला न केवल लक्ष्य वेब सर्वर के आउटगोइंग चैनल के संसाधनों को पूरा कर सकता है, बल्कि सीडीएन नोड्स के चैनल भी कर सकता है। अकामाई, फास्टली और क्लाउडफ्लेयर सहित सभी 13 सबसे बड़े सीडीएन प्रदाताओं में से 13 कमजोर थे। कटौती के तहत, हमला तंत्र और लेखकों द्वारा प्रस्तावित उपायों पर विचार करें।


अंगूठा


, , Range-based Amplification ttack RangeAmp. CDN range request HTTP, - . — . , , Akamai ~15-30% - . RFC range request , CDN . .



13 CDN : Akamai, Alibaba Cloud, Azure, CDN77, CDNsun, Cloudflare, CloudFront, Fastly, G-Core Labs, Huawei Cloud, KeyCDN, StackPath Tencent Cloud.


- Linux c 2.4GHz CPU, 16G DDR 1000 Mbps .


- Apache/2.4.18 . CDN .


Range request


range request -. . , .


, Range. , . , . , Accept-Ranges "bytes".


range CDN - Range. :


  1. Laziness () — .
  2. Deletion () — .
  3. Expansion () — , .

CDN 2 3. , , , , .


, ? RFC7233 , range . , 4 13 CDN .


, — . .. , ! .



Deletion Expansion CDN , , CDN . . Range, CDN - . Small Byte Range Attack SBR RangeAmp. DDoS-, . , , , "" CDN, .., CDN .


SBR


, . 25 MB Akamai 43000!


AMP_SBR


13 CDN : Akamai, Alibaba Cloud, Azure, CDN77, CDNsun, Cloudflare, CloudFront, Fastly, G-Core Labs, Huawei Cloud, KeyCDN, StackPath Tencent Cloud.


CDN


, . CDN, CDN , Frontend CDN FCDN. CDN, -, Backend CDN (. ).


OBR


, :


  1. FCDN Laziness Range " ".
  2. BCDN , Range .

, n , BCDN n * ( ). , . TCP Receive Window, .


, , . .. Range.


, RFC , , 4 : CloudFlare, CDN77, CDNsun, StackPath. 1KB (, n — ):


AMP_OBR


?


, . - (SBR RangeAmp), — CDN (OBR RangeAmp) HTTP/1.1, HTTP/2.


CDN RFC.


CDN :


  • , , RFC7233 .
  • Range Laziness , Expansion, .

Source:
CDN Backfired: Amplification Attacks Based on HTTP Range Requests, Weizhong Li, Kaiwen Shen, Run Guo, Baojun Liu, Jia Zhang, Haixin Duan, Shuang Hao, Xiarun Chen, Yao Wan.


.


P.S.


CloudFlare , , , .


"They thought that the SBR attack relies on constantly triggering a cache-miss and a customer can add a page rule to ignore query strings. But this does not solve the problem fundamentally. The malicious customers and some normal customers will not follow this suggestion. Unfortunately, they won’t implement our mitigation solutions because Cloudflare does not want to cache partial responses of certain resources."

More articles:


All Articles