The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от opennews (??), 26-Май-20, 11:43 
Группа исследователей из Пекинского университета, Университета Цинхуа  и Техасского университета в Далласе выявила новый класс DoS-атак - RangeAmp, основанный на использовании HTTP-заголовка Range для организации усиления трафика через сети доставки контента (CDN). Суть метода в том, что из-за особенности обработки Range-заголовков во многих CDN атакующий может запросить через CDN один байт из большого файла, но CDN загрузит с целевого сервера весь файл или значительно больший блок данных для помещения в кэш. Степень усиления трафика при такой атаке в зависимости от CDN составляет от 724 до 43330 раз, что может использоваться для снижения пропускной способности канала связи до сайта жертвы...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53026

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 26-Май-20, 11:43   +4 +/
Забавно. Средства "безопасности" и "шпионажа" по факту оказались замаскированным LOIC'ом.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от And (??), 26-Май-20, 12:05   +11 +/
Верным бывает всегда самый тупой вариант: обычная халтура в спешке до обещанного бизнесу срока закрыть тикет и успеть уволится. :))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #9

4. Сообщение от Аноним (4), 26-Май-20, 12:49   –1 +/
Дев. Ляп. Сы. Какугугли. Тырпрайз. Глобально и надёжно.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от InuYasha (?), 26-Май-20, 13:00   +1 +/
Хотели как лучше, а получили веслье.
PS: CloudMalware с гугл-капчей из автомобилей уже давно пора бойкотировать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #10, #12

6. Сообщение от Аноним (6), 26-Май-20, 13:22   +/
Это атаки на CDN. Бэкэнд сайта в сценарии а) может не отвечать на range запросы вообще.

В случае сценария б) CDN достаточно полностью заворачивать range запросы, в которых указывается неадекватное количество интервалов и корректно разруливать отдачу кусков для всех прочих (придется погромистам попотеть и вместо заглушек сделать реализацию).

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

7. Сообщение от Аноним (6), 26-Май-20, 13:26   +/
Пока есть возможность менее чем за 100 долларов в месяц наливать в канал 10+G флудом, такие сервисы будут безальтернативны для посещаемых сайтов.
L7 ботнеты отфильтровывать без централизации и сопоставления данных также очень непросто (невозможно).
Это зависит не только от желания владельца сайта что-то использовать или не использовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #8, #25

8. Сообщение от InuYasha (?), 26-Май-20, 13:51   +/
Сервисы-то - это понятно. Просто даже в этой новости есть список альтернатив клаудфлэйру - авось кто-то из них имеет лучшую политику приватности или хотя бы свою капчу генерит?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #15, #18

9. Сообщение от Аноним (9), 26-Май-20, 14:00   +/
В данном случае это наверное все же не "тупая халтура" а просто "непредусмотренное взаимодействие". Бывает и интереснее, например прозрачные прокси, DPI и т.п. могут быть развернуты для ... получения доступа или нанесения добра своей же внутренней сети.

При креативном подходе к протоколам и алгоритмам вообще можно убедить сделать ремоту вообще совсем не то что было задумано изначально.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

10. Сообщение от Аноним (9), 26-Май-20, 14:02   +2 +/
> Хотели как лучше, а получили веслье.

Это в смысле, хотели только шпионить за юзерами, стрипая SSL но хакерье обнаглело и шпион стал LOIC'ом? Это тот самый случай когда хочется сказать "так ему и надо!". Желательно чтобы еще пару владельцев CDN посадили за DDOS-ы :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11, #23

11. Сообщение от InuYasha (?), 26-Май-20, 14:29   +/
Кстати, да, +1

Эх, ЛОИК, ХОИК... ностальгия. )

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от anonymous (??), 26-Май-20, 15:56   +/
Нет уже там гуглокапчи. Теперь там другая, не от гугла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #22

13. Сообщение от YetAnotherOnanym (ok), 26-Май-20, 16:23   +1 +/
> CDN загрузит с целевого сервера весь файл
> диапазоны не агрегируются, а последовательно перебираются

Молодцы!

Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Аноним (14), 26-Май-20, 16:38   +/
На цдн отрпасляется 100 запросов по 1 байту из 100 файлов. Цдн range запросы понимает и отправляет 100 range запросов, пускай на 1кБ, запросы на защищаемый сервер. А вот защищаемый range запросы не умеет, по этому на каждый из 100 запросов от отвечает 1МБ+ файлами. Вы же не забыли, что если range заголовок не обрабатывается сервером, то возвращается всё содержимое, да?
Так на кого эта атака?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #19

15. Сообщение от Аноним (6), 26-Май-20, 16:50   +/
Более приватные - платные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

18. Сообщение от flkghdfgklh (?), 26-Май-20, 16:56   +/
Вылезай из криокамеры. CF уже месяц, как перешли на hCaptcha которым при этом предоставили свои сервера, то есть генерят капчу у себя
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #21

19. Сообщение от Аноним (6), 26-Май-20, 17:43   +1 +/
Уязвимое поведение однозначно у CDN. Это они получают запросы и начинают в фоне что-то делать до начала самой отдачи.

>А вот защищаемый range запросы не умеет

Умеет и отвечает по протоколу.

Тупые CDN целыми файлами отвечают, так как у них в кэше целые файлы. Не потому, что им исходный сервер отдает на range-запрос целый файл.

Запросы с range я предлагал не обрабатывать, как обычные, а вообще не отвечать на них. Если сайт не раздает видеофайлы, это простое и рабочее решение.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #28

21. Сообщение от InuYasha (?), 26-Май-20, 17:57   +/
> Вылезай из криокамеры. CF уже месяц, как перешли на hCaptcha которым при
> этом предоставили свои сервера, то есть генерят капчу у себя

Не хочу http://favim.com/image/64232/
И ещё месяц не буду ходить на CF-сайты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

22. Сообщение от пох. (?), 27-Май-20, 09:05   +/
поссорились, перестали делиться трекингом? Или просто наладили внутренний обмен, беспалева...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #24

23. Сообщение от пох. (?), 27-Май-20, 09:12   +/
> Желательно чтобы еще пару владельцев CDN посадили за DDOS-ы

потребителей услуги же ж.
Владельцы, как обычно, мынивинаваты, хателикаклучше.

P.S. и вот обратите внимание - при всем неудержимом желании отдельных государств (по всему миру) лезть "регулировать" интернеты - ни за ddos'ы, ни за спам, ни за разработку подобного софта - не только никого и никогда не сажают, а еще и оплачивают разработки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #26

24. Сообщение от anonymous (??), 27-Май-20, 09:56   +/
Перестали.
"it helps address a privacy concern inherent to relying on a Google service"
https://blog.cloudflare.com/moving-from-recaptcha-to-hcaptcha/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

25. Сообщение от Аноним (25), 27-Май-20, 10:09   +/
> L7 ботнеты отфильтровывать без централизации и сопоставления данных также очень непросто

Да вообще-то именно L7 обычно вывешивает достаточно аномалий чтобы отличить бота от человека. Иногда под раздачу конечно может попасть и человек - но собственно клаудспайварь с своей заколебавшей всех капчей за вот это самое как раз и известна больше всего.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

26. Сообщение от Аноним (26), 27-Май-20, 10:13   +/
> потребителей услуги же ж.

Адресатов DDoS чтоли? Ну в принципе я не против, пусть ответят за использование клаудспайвари :). Но мне кажется что даже канцелярские крысы могут заметить в этой схеме какой-то подвох.

> Владельцы, как обычно, мынивинаваты, хателикаклучше.

При том лучше - для своего кошелька, угу.

> за спам, ни за разработку подобного софта - не только никого
> и никогда не сажают, а еще и оплачивают разработки.

Ну так за скромное вознаграждение такие фирмочки и сами продадут все данные. Ничего личного, это бизнес.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

27. Сообщение от Аноним (27), 27-Май-20, 13:33   –1 +/
Fastly опять предоставляют самый качественный продукт. Жалко у них маркетинг не такой эффективный как у Cloudflare. Fastly заслуживает больше внимания.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

28. Сообщение от Гентушник (ok), 27-Май-20, 16:47   +/
> а вообще не отвечать на них.

По мне это костыль, ведь это нарушение RFC.
Не знаю конечно в каких сценариях браузеры используют этот заголовок кроме загрузки файлов и показа видео, но гарантировать что они этого не будут делать в будущем точно нельзя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

29. Сообщение от Аноним (29), 28-Май-20, 08:41   +/
Очень дорго и нет быстрого получения услуг без заполнения форм, фтопгу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру