CPDoS 攻击会毒害 CDN

CloudFront、Cloudflare、Fastly、Akamai及其他CDN服务提供商都是新的CPDoSWeb缓存中毒攻击的影响。

科隆工业大学（THKoln）本周，两位学者披露了一种新型Web攻击可以毒害内容分发网络（CDN），从而缓存和生成错误的页面，而不是合法的网站。

这种新攻击被称为CPDoS(拒绝服务缓存中毒)，在实际环境体，在实际环境中被认为是可行的(这与大多数其他变体一样Web不同的缓存攻击)。

CPDoS攻击是如何实施的？

CPDoS对现代的攻击Web两部分:(1)Web分发网络的服务器和(2)内容。

Web存储原始网站及其内容的服务器CDN存储网站的缓存副本，仅按特定时间间隔刷新。

尽管CDN因为它们可以减少，所以扮演的角色很简单，但它们是现代互联网的重要组成部分Web服务器负担。CDN可为部分入站用户提供网站副本，直至CDN直到新版本更新自己，而不是Web服务器反复计算相同的用户请求。

CDN广泛使用CDN系统的任何攻击都可能严重损害网站的可用性，从而严重损害盈利能力。

在这种情况下，CPDoS工作方下特点：

直到他的要求生成新的，攻击者才连接到网站CDN条目的请求。

攻击者的请求是恶意的，超大的HTTP头。

CDN允许该头转移到合法网站，以便处理它CDN生成要缓存的网页。

尺寸超大的HTTP头导致Web服务器崩溃。

服务器生成错误的页面(400BadRequest”错误）。

错误页面缓存CDN上

其他访问该网站的用户将获得错误的页面，而不是实际网站。

缓存错误会传播CDN其他网络节点在合法网站上造成虚假故障。

据研究团队声称，CPDoS根据攻击者的决定，攻击有三种变体HTTP头类型：

HTTPHeaderOversize（HHO）

HTTP元字符（HMC）

HTTP方法重载（HMO）

我们不讨论每次攻击的技术差异，因为这不在本文的讨论范围内。欲了解更多详细信息和演示，请访问本网站（http://cpdos.org/)，或阅读研究人员CPDoS白皮书（http://cpdos.org/paper/Your_Cache_Has_Fallen__Cache_Poisoned_Denial_of_Service_Attack__Preprint_.pdf）。

有缓解措施

幸运的是，目前有对付CPDoS缓解攻击。最简单的解决方案是网站所有者配置它CDN默认情况下不缓存服务HTTP错误页面。

许多CDN服务提供商在仪表板中包含此类设置，因此采取此措施并不难。

假如网站所有者在CDNWeb如果仪表板中没有控制器来禁止错误页面的缓存，则可以添加每个错误页面类型Cache-Control:no-store”HTTP该功能从服务器配置文件中禁用。

对付CPDoS更复杂的攻击解决方案是CDN供应商本身可能需要改变产品的工作方式。

据研究团队称，有些CDN提供商容易受到的原因CPDoS攻击是因为他们没有遵循互联网缓存协议。

研究团队说：Web只允许缓存标准[CDN]404缓存错误代码NotFound、405MethodNotAllowed、410Gone和501NotImplemented。”他指出CDN不应该缓存CPDoS攻击产生的400BadRequest页面错误。

他们说：所以，按照HTTP避免使用标准策略来缓存错误页面CPDoS攻击的第一步。

这种方法比较复杂，需要很多CDN提供商的后端做一些工作。在此之前，第一个对策更容易实施。

由于CPDoS攻击实际上确有可能，稍微花点力量，大多数网站所有者应该能够保护其服务器免受任何可能的滥用现象。

研究人员警告网站管理员不要忽视这个问题。根据他们的测试，30%AlexaTop500网站、10%的美国国防部域名以及从谷歌BigQuery存档获得的3.65亿个URL样本中16%的URL可能容易受到CPDoS攻击。