一组中国学者发现了一种新的方法,可以滥用HTTP数据包来扩大网络流量,并摧毁网站和内容分发网络(CDNs)。
这种名为RangeAmp的新拒绝服务(DoS)技术利用了HTTP“范围请求”属性的不正确实现。
HTTP范围请求是HTTP标准的一部分,并且允许客户端(通常是浏览器)只从服务器请求文件的特定部分(范围)。该特性是为在受控(暂停/恢复操作)或不受控(网络阻塞或断开连接)情况下暂停和恢复流量而创建的。
HTTP范围请求标准已经在Internet Engineering Task Force (IETF)中讨论了五年多,但是由于其实用性,浏览器、服务器和CDNs已经实现了它。
现在,一组中国学者表示,攻击者可以使用不正确的HTTP范围请求来放大web服务器和CDN系统在处理范围请求操作时的反应。
研究小组称存在两种不同的距离攻击。
第一种攻击称为RangeAmp小字节范围攻击(SBR)。在这种情况下[参见下图中的(a)],攻击者向CDN提供者发送了一个不正确的HTTP范围请求,从而放大了发送到目标服务器的流量,最终导致目标站点崩溃。
第二种攻击称为RangeAmp重叠字节范围(OBR)攻击。在这种情况下(b)在下图),攻击者发送一个HTTP请求到一个CDN提供商畸形,在的情况下,交通经由其他CDN服务器,内部的流量放大CDN网络,服务器崩溃CDN和呈现CDN和许多其他目的地网站无法访问。
学者们表示,他们对13家CDN提供商进行了RangeAmp攻击测试,发现所有提供商都容易受到RangeAmp SBR攻击,6家提供商在某些组合中也容易受到OBR变体攻击。
研究人员表示,这些袭击非常危险,只需要最少的资源就可以实施。在这两种攻击中,RangeAmp SBR攻击可以最大程度地放大流量。
研究小组发现攻击者可以使用RangeAmp SBR攻击将流量从724增加到43,330倍。
RangeAmp OBR袭击是有点难以实施,作为六个脆弱发布商需要在特定(master-surrogate)配置,但当条件被满足,下说OBR攻击也可以用于充气流量在CDN网络与近7500倍的放大因素初始数据包大小。
在这两种攻击中,OBR攻击被认为更危险,因为攻击者可以摧毁一个CDN提供商的整个网络,一次摧毁数千个网站的连接。
学者们表示,过去几个月,他们一直在悄悄联系受影响的CDN提供商,并披露了RangeAmp攻击的细节。
在13家CDN提供商中,研究人员表示,有12家做出了积极的回应,要么推出,要么表示计划推出对其HTTP范围请求实现的更新。
这份名单包括Akamai、阿里巴巴云、Azure、Cloudflare、CloudFront、CDNsun、CDN77、Fastly、G-Core Labs、华为云、KeyCDN和腾讯云。
“不幸的是,尽管我们给他们发了好几次电子邮件,并试图联系他们的客户服务,但StackPath没有提供任何反馈,”研究团队说。
“总的来说,我们已经尽了最大努力,负责地报告漏洞,并提供缓解方案。在这篇论文发表之前,相关的CDN供应商已经有近7个月的时间来实施缓解技术。
每个CDN提供商的回复,以及关于RangeAmp攻击的技术细节,都可以在研究小组的论文中找到,题为“CDN适得其反:基于HTTP范围请求的放大攻击”,可以从这里下载PDF格式。