【CDN 2021 完全攻击指南(二)】主要探讨了针对内容分发网络(CDN)的几种安全威胁,特别是在协议层面上的攻击策略。这些攻击利用了HTTP协议的某些特性和规范,包括范围放大攻击、小字节范围攻击以及重叠字节范围攻击,同时提到了基于协议转换的HPACK攻击。
1. **范围放大攻击(Rangeamp)**:
- 攻击者通过发送带有`Range`请求头的HEAD请求,如果目标支持Range传输,服务器会返回`Accept-Ranges: bytes`,这使得攻击者可以利用此功能进行放大攻击。
- 当发送小字节范围请求时,CDN可能会为了优化缓存或减少回源而扩增请求字节,导致响应流量严重倾斜,形成放大倍数。
2. **小字节范围攻击(SBR)**:
- 攻击者发送1字节的Range请求,CDN处理后可能放大响应,比如针对1MB资源的放大倍数通常超过1000倍。
- 这种不对称的响应流量可以造成DDoS攻击。
3. **重叠字节范围攻击(OBR)**:
- 多范围请求可以导致服务器处理重叠的部分,返回的数据量是原始请求的多倍,尤其是在不遵循RFC7233标准的CDN节点中。
- 级联CDN攻击中,前端CDN将未经处理的重叠范围请求转发给后端CDN,后者返回的数据被放大,加剧了压力。
4. **基于协议转换的HPACK攻击**:
- HPACK是HTTP/2中用于压缩Header字段的机制,旨在减少带宽使用并提高效率。
- 当CDN支持HTTP/2,但后端源服务器不支持时,攻击者可以利用不同协议间的差异进行放大攻击。
- 静态表和动态表的不对称性可能导致新的安全问题,因为攻击者可以构造特定的Header来利用这种差异。
这些攻击方式提醒我们在设计和配置CDN服务时必须考虑安全性,确保遵循标准,限制潜在的放大效应,并且要定期进行安全审计和更新。同时,了解并防御这些攻击策略是网络安全专业人员的重要职责,以保护Web服务免受恶意攻击。