美國服務器中CPDoS攻擊的原理:遠程攻擊者通過發送包含格式錯誤的標頭的HTTP請求來請求目標網站的WEB頁面。如果中間的CDN服務器沒有所請求資源的副本,它將把請求轉發給源WEB服務器,而源WEB服務器將由于格式錯誤而崩潰。
具體分析如下:
遠程攻擊者通過發送包含格式錯誤的標頭的HTTP請求來請求目標網站的WEB頁面。如果中間的CDN服務器沒有所請求資源的副本,它將把請求轉發給源WEB服務器,而源WEB服務器將由于格式錯誤而崩潰。
因此,原始服務器隨后返回一個錯誤頁面,該錯誤頁面最終由緩存服務器存儲,而不是由請求的資源存儲。現在,每當合法的訪問者試圖獲取目標資源時,他們將獲得緩存的錯誤頁面,而不是原始內容。CDN服務器也會將相同的錯誤頁面傳播到CDN網絡的其他邊緣節點,導致受害者網站的目標資源不可用。
值得注意的是,一個簡單的請求就足以用一個錯誤頁面替換緩存中的真實內容。這意味著這樣的請求仍然低于WEB應用程序防火墻WAFs和DDoS保護的檢測閾值,特別是當它們掃描大量不規則網絡流量時。
此外,可以利用CPDoS攻擊來阻止通過緩存分發的補丁或固件更新,從而防止設備和軟件中的漏洞被修復,攻擊者還可以禁用美國服務器關鍵任務網站,如網上銀行或官方網站上的重要安全警報或消息。
要對CDN執行這種緩存中毒攻擊,有三種類型的HTTP請求:
1)HTTP頭文件大小過大/HHO:在WEB應用程序使用比原始服務器接受更大的頭文件大小限制的緩存的情況下,包含超大頭文件的HTTP請求。
2)HTTP元字符/HMC:這種攻擊不發送過大的報頭,而是嘗試使用包含有害元字符的請求報頭繞過緩存。
3)HTTP方法覆蓋/HMO:使用HTTP覆蓋頭繞過禁止刪除請求的安全策略。
