缓存中毒攻击：黑客利用cpdos攻击将目标锁定cdn保护网站

　　【小编提示】本文部分内容摘自网络,仅供参考!如需了解服务器租用\托管相关问题,请咨询YINGSOO专业客服,享受1V1贴心服务!免费热线400-630-3752

　　【本周热销】韩国服务器丨香港服务器

　　【选购帮助】香港免备案服务器

缓存中毒攻击

　　有关一类新的web缓存中毒攻击的详细信息已经出现，这些攻击可用于拒绝用户访问通过内容分发网络（cdn^{[游戏云服务器]}）分发的资源。

　　该新方法名为“缓存中毒拒绝服务（cpdos）”，它具有多种变体，可以通过发送带有格式错误的标头的Http请求来工作。

　　通过缓存服务器进行dos

　　cdn具有通过缓存客户端经常请求的资源来减少使用其服务的原始服务器上的通信量的特性。这样做的直接效果是提高了性能。

　　cdn体系结构中的缓存系统通常分散在较大的地理区域中，以实现更好的分发，它存储源服务器中资源的最新版本，并在客户端请求时将其交付给客户端。

　　这些中间系统处理请求并将其转发到目的地，等待响应和资源的新版本（如果存在）。使用标识新变体的缓存键可以确定资源的新鲜度。

　　cpdos在cdn的中间缓存系统级别工作，该缓存系统接收并存储由错误的Http请求标头引起的错误页面。

　　结果，尝试访问相同资源的用户将收到缓存的错误页面，因为这是原始服务器在请求后返回的带有错误标头的内容。

　　攻击的变化

　　科隆^{[日本服务器云]}应用科学大学和德国汉堡大学的Hoai Viet nguyen，Luigi Lo iacono和Hannes Federrath描述了cpdos攻击的三种变化：

Http标头超大（HHo） Http元字符（Hmc） Http方法覆盖（Hmo）

　　使用HHo类型的cpdos攻击，威胁参与者会利用为Http请求标头设置的大小限制中间系统和web服务器。

　　如果缓存系统接受的请求标头大小大于原始服务器所定义的大小，则攻击者可以使用超大请求密钥或多个标头来制作请求。

　　在这种情况下，缓存将转发带有多个标头的请求，然后网络服务器将阻止该请求，并返回一个400 bad Request错误页面进行缓存。以后对相同资源的请求将获得错误页面。

　　为了更好地说明这种情况，研究人员制作了一个视频，目标是托管在Amazon cloudFront上的应用程序。

　　在攻击过程中，错误页面将有选择地替换资源，直到整个网页都不可用为止。

　　Http元字符（Hmc），cpdos攻击的第二种变体与HHo类似，但利用了有害的元字符。这些是任何“控制字符，例如换行符/回车符（'\ n）'，换行符（'\ r'）或铃声（'\ a'）”。

　　再次，高速缓存系统执行其工作并转发从客户端收到的请求。当它到达源服务器时，它可能被分类为恶意程序，并生成一条错误消息，该消息被缓存并呈现给客户端而不是请求的资源。

　　该方法超越了攻击（Hmo），这是cpdos的第三种变体，它从仅支持get和post Http请求方法的中间系统（例如代理，负载平衡器，缓存，防火墙）中获利。

　　这转化为阻止其他Http请求方法。一个提供web应用程序指示信息以替换标头中支持的Http方法的web框架允许绕过安全策略并提供不同的安全策略，例如deLete。

　　在上图中，get请求被覆盖，原始服务器上的web应用将其解释为post，并返回相应的响应。

　　“让我们假设目标web应用程序未对/index.html上的post实现任何业务逻辑。在这种情况下，诸如play Framework 1之类的web框架会返回一条错误消息，状态码为404 not Found。”

　　结果是该错误消息被缓存并用于/index.html资源的后续有效get请求。

　　下面的视频演示了cpdos攻击的这种变体，它使用邮递员工具来测试web服务，从而阻止了对目标网站主页的访问。

　　影响深远

　　cdn在较大的地理位置上运行，cpdos攻击生成的错误页面可以到达多个缓存服务器位置。

　　但是，研究人员发现，并非所有边缘服务器都受到此威胁的影响，并且某些客户端仍将从原始服务器接收有效页面。

　　为了进行测试，他们使用了turbobytes pulse（全局dns，Http和traceroute测试工具）和网站速度测量服务。

　　德国（法兰克福）针对同一国家（科隆）的目标发起的攻击影响了整个欧洲和亚洲某些地区的缓存服务器。

　　解决问题

　　这种dos攻击的标头超大（HHo）和元字符（HHm）变体是可能的，因为它与标准Http实现有所不同，默认情况下，标准Http实现不允许存储包含错误代码的响应。

　　“ web缓存标准仅允许缓存错误代码'404 not Found'，'405 method not Allowed'，'410 gone'和'501 not implemented'，”研究人员在致力于cpdos的网站上写道。

　　阻止dos受到这些攻击的最简单方法是遵守Http标准并仅缓存上面定义的错误页面。

　　但是，使用错误的状态代码来处理错误也会启用这些攻击，因为内容提供商会使用更通用的攻击。例如，“ 400错误请求”用于声明过大的标头。正确的是“ 431请求标头字段太大”，研究人员分析的任何系统都未缓存它。

　　针对HHo和HHm cpdos变体的全面解决方案是将错误页面完全排除在缓存之外。

　　保护措施还包括在缓存前面设置web应用程序防火墙（wAF），以捕获试图到达原始服务器的恶意内容。

　　存在于多个cdn上的问题

　　从三位学者进行的测试来看，亚马逊的cloudFront cdn似乎最容易受到cpdos威胁。

　　在研究人员测试的25个流量服务器和web框架中，只有其中三个的Http实施不受cpdos攻击：Apache ts，google cloud storage和squid。

　　下表显示了此类web缓存系统和Http实现的组合受此类拒绝服务的影响.

　　已将问题报告给受影响的各方，其中一些人发布了补丁或以其他方式纠正了它们。

　　microsoft更新了iis server的修复程序，并于6月发布了有关漏洞的详细信息（cVe-2019-0941）。play Framework还在1.5.3和1.4.6版本中针对Hmo方法修补了其产品。

　　但是，并非所有供应商的反应都相同。与Flask开发人员进行了多次联系，但没有回复，并且对cpdos的弹性尚不清楚。

　　亚马逊的安全团队认识到cloudFront的弱点，并默认情况下停止使用状态码“ 400 bad Request”缓存错误页面。但是，研究人员说，沟通主要是一种方式，因为他们从未收到有关缓解进度的最新信息。

　　Hoai Viet nguyen，Luigi Lo iacono和Hannes Federrath在《您的缓存已下降：缓存中毒的拒绝服务攻击》一文中详细介绍了这种web缓存中毒攻击及其变化。（来源网络）

　　浅谈美国服务器的稳定性

　　美国服务器的稳定性如何?它是许多用户在租赁免备案空间美国服务器前都是问的一个难题。经历建站经验的都了解，服务器假如不稳定，可能给seo优化及其用户感受产生十分不好的危害，因而稳定性是用户租赁服务器的一个关键参照要素。那美国服务器的稳定性究竟如何?

　　美国是互联网技术和服务器技术性的起源地，其服务器租赁服务项目比别的一切國家都具备优点。美国服务器技术性发展趋势迄今，她们在用户高度重视的稳定性层面做的也十分健全。

　　我们知道美国主机房的规定全是有严苛规范的，包含主机房的溫度、环境湿度、防火安全标准及其室内通风等。全部服务器硬件软件都必须历经专业检测的项目工程师检测后再安裝并交付使用。此外美国主机房常有技术专业的项目工程师二十四小时持续监控器的，碰到一切难题都是尽早处理。

　　许多像GoDaddy、本公司这种知名品牌美国服务器公司有99.9%的线上保证率，便是由于他们在维护保养服务器稳定性层面采用了许多对策。但是服务器服务器零配件即便再好，也会免不了出現一些常见故障，如电脑硬盘、运行内存、微处理器等，乃至是服务器遭受黑客技术的进攻，这种全是不确定因素，这也是为什么这种美国服务提供商害怕确保100%线上率的缘故之一。

　　自然，中国用户访问美国服务器上的网址，还会继续由于所在位置而遭受不一样水平的危害。美国和我国间距较远，并且走的是海底光缆，中国用户访问时速率和稳定性毫无疑问不如在美国当地访问。但是美国服务器常用的互联网同轴电缆原材料选用高质量海底光缆、光缆电缆连接端口号、无线路由、空调交换器等互联网物理学机器设备是根据数据工程师开展数据监测，保证防止由于美国服务器互联网物理学机器^{[外贸网站加速慢该如何处理^[越南云主机丢包要怎么办]}]设备存在的问题而引起信息内容损伤。

　　YINGSOO电话：400-630-3752