CPDoS：cpdos攻击会毒害cdn

　　【小编提示】本文部分内容摘自网络,仅供参考!如需了解服务器租用\托管相关问题,请咨询YINGSOO专业客服,享受1V1贴心服务!免费热线400-630-3752

　　【本周热销】香港vps租用丨日本vps价格

　　【选购帮助】vps租用哪个好

CPDoS

　　cloudFront、cloudflare、Fastly、Akamai及其他cdn服务提供商都受到新的cpdos web缓存中毒攻击的影响。

　　科隆工业大学（tH Koln）的两位学者本周披露了一种新型的web攻击，这种攻击可以毒害内容分发网络（cdn），从而缓存并生成错误页面而非合法网站。

　　这种新攻击被称为cpdos（缓存中毒的拒绝服务），它有三种变体，被认为在实际环境下切实可行（这与大多数其他web缓存攻击不同）。

　　cpdos攻击是如何实施的？

　　cpdos攻击针对现代web的两个组成部分:（1）web服务器和（2）内容分发网络。

　　web服务器存储原始网站及其内容，而cdn存储网站的缓存副本，该副本仅按特定的时间间隔来刷新。

　　尽管cdn扮演的角色很简单，却是现代互联网的重要组成部分，因为它们可以减轻web服务器的负担。cdn可以为一些入站用户提供网站副本，直到cdn以新版本更新自己为止，而不是web服务器一再计算相同的用户请求。

　　cdn被广泛使用。针对cdn系统的任何攻击都可能对网站的可用性造成严重破坏，因而对盈利能力造成严重破坏。

　　在这种情况下，^{[韩国高防服务器]}cpdos的工作方式具有如下特点：

　　攻击者连接到网站，直到他的请求是生成新cdn条目的请求。

　　攻击者的请求含有恶意、尺寸超大的Http头。

　　cdn允许该头传递到合法网站，以便可以对其进行处理，并为cdn生成要缓存的网页。

　　尺寸超大的Http头导致web服务器崩溃。

　　服务器生成错误页面（“400 bad Request”错误）。

　　错误页面缓存在cdn上

　　访问该网站的其他用户将获得错误页面，而不是实际网站。

　　缓存的错误会传播到cdn网络的其他节点，从而在合法网站造成虚假故障。

　　据研究团队声称，cpdos攻击有三种变体，这取决于攻击者决定使用的Http头类型：

　　Http Header oversize（HHo）

　　Http元字符（Hmc）

　　Http方法重载（Hmo）

　　我们不会讨论每种攻击的技术差异，因为这不在本文的讨论范围之内。想了解更多详细信息和演示，请访问该网站（https://cpdos.org/），或阅读研究人员的cpdos白皮书（https://cpdos.org/paper/Your_cache_Has_Fallen__cache_poisoned_denial_of_service_Attack__preprint_.pdf）。

　　cpdos攻击被认为切实可行

　　tH Koln团队在研究cpdos攻击的实际可行性期间表示，他们设法对托管在多家cdn提供商的网络上的一个测试网站进行了广泛的缓存中毒攻击。

　　比如说，下图显示了攻击者（危险符号）对合法网站的cdn服务器（蓝色标记）发动攻击，然后将缓存的错误页面传播到其他cdn服务器（红色标记），毒害cdn提供商网络的大部分。

　　诸如上述攻击之类的攻击会导致合法网站的停机时间延长，给网站所有者造成经济损失。

　　好消息是，并非所有的web服务器（Http协议实现）和cdn网络都易受攻击。

　　据研究人员的测试显示，下表显示了哪些服务器+ cdn组合易受攻击。

　　有缓解措施

　　幸好，目前有对付cpdos攻击的缓解措施。最简单的解决办法是，网站所有者配置其cdn服务，以便默认情况下不缓存Http错误页面。

　　许多cdn服务提供商在仪表板中含有此类设置，因此采取这个措施并不难。

　　如果网站所有者在cdn web仪表板中没有控件来禁用错误页面的缓存，可以通过为每种错误页面类型添加“cache-control: no-store”Http头，从服务器的配置文件内部禁用该功能。

　　对付cpdos攻击的更复杂解决方案在于cdn提供商本身，提供商可能需要改动产品的工作方式。

　　据研究团队声称，一些cdn提供商之所以容易受到cpdos攻击，是由于它们并没有遵循互联网缓存协议。

　　研究团队说：“web缓存标准仅允许[cdn]缓存错误代码404 not Found、405 method not Allowed、4^{[免费香港云主机]}10 gone和501 not implemented。”他指出cdn不应该缓存cpdos攻击生成的“400 bad Request”错误页面。

　　他们说：“因此，按照Http标准的策略来缓存错误页面是避免cpdos攻击的第一步。”

　　采用这种方法较为复杂，需要在许多cdn提供商的后端做一些工作。在此之前，第一个对策比较容易实施。

　　由于cpdos攻击实际上确有可能，稍微花点力量，大多数网站所有者应该能够保护其服务器免受任何可能的滥用现象。

　　研究人员警告网站管理员切莫忽视这个问题。据他们的测试显示，30%的Alexa top 500网站、10%的美国国防部域名以及从谷歌big Query存档获得的3.65亿个URL样本中16%的URL可能容易受到cpdos攻击。

　　美国服务器租用的关注点是什么

　　做为公司IT基本建设和经营的最好质粒载体，美国服务器在布署步骤和性能层面有着与众不同的优点，都是外贸公司布署网上业务流程的最好计划方案。殊不知因为销售市场上美国服务器经销商良莠不齐，美国服务器商品参差不齐，各种各式各样的网络服务器商品让人目不暇接。那麼，美国服务器租用的关注点是什么?

　　美国服务器租用的关注点是什么?价钱，始终是美国服务器租用时关注点最大的要素。销售市场上不无以远超制造行业平均价的“极低价钱”吸引住消费者，^{[移动线路租用]}这类极低价钱通常没法确保其网络服务器性能。说白了一分钱一分货，在挑选服务器时切忌一味追求完美廉价而罔顾网络服务器性能，不然一旦服务器的配置出現毁坏，客^{[国外美国服务器地址]}户的平台网站数据信息将遭遇毁坏、遗失的风险性。

　　美国服务器租用的关注点是什么?性能，是美国服务器租用时最应当关心的要素。网络服务器性能立即决策你的网站源代码载入高效率，及其数据信息的响应速度。人们以本公司为例，本公司美国服务器出示i3、i5、E5等系列产品cpu、SSD固态盘，不管程序流程运行，還是数据信息与运算，均远商场场中的一般标配网络服务器。并且还出示制造行业少见的1G国际性网络带宽，立即应对大量高并发也可以轻轻松松解决。

　　YINGSOO官网：https://www.yingsoo.com