Два специалиста из Технического университета в Кёльне продемонстрировали новый тип веб-атак, с помощью которого злоумышленник может заставить CDN (сеть доставки содержимого, Content Delivery Network) отдавать страницы с ошибкой вместо легитимных сайтов.
Новый вид атак получил имя CPDoS (Cache-Poisoned Denial-of-Service). Исследователи выявили три возможных варианта CPDoS, состоятельность которых была доказана на деле (в отличие от большинства атак, завязанных на веб-кеше).
Как объяснили эксперты, CPDoS нацелена на две современные составляющие сетевого взаимодействия: веб-серверы и CDN. На первых хранятся сайты и их контент в первозданном виде, вторые — хранят кешированную копию ресурса, которая обновляется только через определённые интервалы.
Таким образом, можно с уверенностью сказать, что CDN является одним из ключевых компонентов современного интернета. Атаки на инфраструктуру CDN могут привести к крайне печальным последствиям и сказаться на доступности того или иного веб-сайта.
Открытая специалистами форма атаки CPDoS (PDF) действует по следующему алгоритму:
- Атакующий подключается к сайту и старается привести к тому, что его запрос сгенерирует новую CDN-запись.
- Запрос злоумышленника содержит вредоносный HTTP-заголовок очень большого размера.
- CDN даёт этому заголовку пройти к легитимному сайту, после чего генерируется веб-страница для кеша CDN.
- Чрезмерно большой заголовок приводит к сбою в работе сервера.
- Сервер отдаёт страницу с ошибкой 400 «Bad Request».
- Страница с ошибкой кешируется системой CDN.
- Другие пользователи, попадая на сайт, видят ошибку.
- В результате создаётся ложное впечатление неработоспособности сайта.
