Что такое DoS-атака, отравляющая кэш CDN?

DoS-атаки не являются чем-то новым. Но по мере того, как стеки организационных технологий становятся все более сложными, всегда появляются новые переменные, которые могут привести к неожиданному поведению. Хакеры постоянно ищут дыры в безопасности и могут их использовать.

Директор по исследованиям PortSwigger [Джеймс Кеттл] (https://www.darkreading.com/cloud/cache-poisoning-of-cdns-allows-dos-attacks-against-cloud-apps) сказал: «Конкретная вещь где вы можете вызвать отказ в обслуживании, отравив кеш, есть так много способов сделать это». Он даже говорит, что одному человеку невозможно найти все подвиги.

DoS-атака, связанная с отравлением кеша, — новая угроза безопасности, появившаяся в последние годы. DoS-атака с отравлением кеша, также известная как CPDoS-атака, представляет собой тип DoS-атаки это в первую очередь зависит от механизма кэширования веб-сервера. Вот что вам нужно знать.

Что такое отравление кеша?

Отравление кеша — это когда HTTP-запрос заставляет веб-сервер ответить вредоносным ресурсом. Этот ресурс будет иметь тот же ключ кэша, что и обычный чистый запрос, что сделает его неотличимым. Затем этот зараженный ресурс будет кэширован и предоставлен другим пользователям.

Что такое DoS-атаки?

DoS относится к отказу в обслуживании. Атака DoS — это когда злоумышленник делает облачные приложения и интернет-контент недоступными для своих пользователей. Это достигается путем отключения машины или сети.

DoS-атаки либо наводняют цель трафиком, либо отправляют информацию, которая приводит к сбоям. Независимо от метода, атака лишает пользователей доступа к службам или ресурсам, иногда на несколько часов.

К наиболее популярным типам флуд-атак относятся следующие:

● Атаки с переполнением буфера. Целью здесь является отправка в сеть большего объема трафика, чем она предназначена для обработки.

● SYN Flood: прерывает рукопожатие на сервере и продолжает насыщать открытые порты запросами до тех пор, пока другие не станут доступны.

● ICMP Flood: этот метод отправляет поддельные пакеты для проверки связи с каждым компьютером в определенной сети. Это заставляет сеть усиливать трафик.

DoS-атака с отравлением кеша (CPDoS)

В DoS-атаках с отравлением кеша злоумышленник нацелен на промежуточный прокси-сервер кеша. , который находится между веб-сервером и клиентом (жертвой) с вредоносными HTTP-запросами и настраивает ответ кэша с кодом, связанным с ошибкой (например, 400 bad Request).

Вот схема атаки CPDoS:

Источник: Варутра

• Злоумышленник отправляет HTTP-запрос с вредоносным заголовком на веб-сервер.

• Промежуточный кэш-сервер обрабатывает запрос. Поскольку вредоносный заголовок остается незаметным, сервер кэширования перенаправляет его на исходный сервер.

• Исходный сервер распознает вредоносные запросы и отвечает сообщением об ошибке.

• Следовательно, ответ об ошибке будет закэширован сервером кеша вместо запрошенных ресурсов, и такой же будет отправлен в качестве ответа злоумышленнику.

• Всякий раз, когда законный пользователь инициирует запрос, он получит в качестве ответа кэшированное сообщение об ошибке.

Этот тип DoS-атаки приводит к высокой вероятности успеха с минимальным или нулевым риском быть обнаруженным. Атака CPDoS представляет повышенный риск. Злоумышленники могут даже отключить критические сообщения или предупреждения системы безопасности на критически важных веб-сайтах, таких как официальные правительственные веб-сайты или веб-сайты онлайн-банкинга.

Например, атака CPDoS может помешать показу оповещений системы безопасности о фишинговых сообщениях соответствующим пользователям.

Как защититься от CPDoS-атак?

Технически ваша первая линия защиты — это кэширование сообщения об ошибке на основе стандартных политик HTTP. Настройте CDN для кэширования не всех сообщений об ошибках, а таких ошибок, как 405 (метод не разрешен), 404 (не найден), 501 (невозможно реализовать) и 410 (утерян или утерян) на основе стандарта веб-кэширования CDN.

Эффективной мерой противодействия атакам CPDoS является развертывание WAF (брандмауэра веб-приложений) для блокировки вредоносных программ. запросы до достижения исходного сервера.

Доступно множество вариантов, и большинство, если не все, утверждают, что предлагают уникальные меры защиты от атак с отравлением кеша. Но каждому человеку, организации или компании было бы полезно понять свои собственные потребности, прежде чем браться за чье-либо обслуживание. И это означает, что поиск правильного WAF имеет значение.

Поиск WAF с безопасным CDN, защитой от DoS, интеграцией SSL, интеллектуальным кэшированием, надежной поддержкой клиентов и другими вариантами настройки может оказаться бесценным.

Вывод

Простои веб-сайтов и облачных приложений могут повлиять на доход, взаимодействие с пользователем, доверие к бренду, удержание клиентов, привлечение клиентов и рейтинг в поисковых системах.

Отравление кеша CDN позволяет хакерам использовать ваши облачные приложения и запускать против них DoS-атаки. Понимая связанные с этим риски, защита от таких атак поможет вам сохранить более прочную связь с вашими клиентами, сотрудниками и пользователями.