The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от opennews (??), 26-Май-20, 11:43 
Группа исследователей из Пекинского университета, Университета Цинхуа  и Техасского университета в Далласе выявила новый класс DoS-атак - RangeAmp, основанный на использовании HTTP-заголовка Range для организации усиления трафика через сети доставки контента (CDN). Суть метода в том, что из-за особенности обработки Range-заголовков во многих CDN атакующий может запросить через CDN один байт из большого файла, но CDN загрузит с целевого сервера весь файл или значительно больший блок данных для помещения в кэш. Степень усиления трафика при такой атаке в зависимости от CDN составляет от 724 до 43330 раз, что может использоваться для снижения пропускной способности канала связи до сайта жертвы...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53026

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


6. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от Аноним (6), 26-Май-20, 13:22 
Это атаки на CDN. Бэкэнд сайта в сценарии а) может не отвечать на range запросы вообще.

В случае сценария б) CDN достаточно полностью заворачивать range запросы, в которых указывается неадекватное количество интервалов и корректно разруливать отдачу кусков для всех прочих (придется погромистам попотеть и вместо заглушек сделать реализацию).

Ответить | Правка | Наверх | Cообщить модератору

14. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от Аноним (14), 26-Май-20, 16:38 
На цдн отрпасляется 100 запросов по 1 байту из 100 файлов. Цдн range запросы понимает и отправляет 100 range запросов, пускай на 1кБ, запросы на защищаемый сервер. А вот защищаемый range запросы не умеет, по этому на каждый из 100 запросов от отвечает 1МБ+ файлами. Вы же не забыли, что если range заголовок не обрабатывается сервером, то возвращается всё содержимое, да?
Так на кого эта атака?
Ответить | Правка | Наверх | Cообщить модератору

19. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +1 +/
Сообщение от Аноним (6), 26-Май-20, 17:43 
Уязвимое поведение однозначно у CDN. Это они получают запросы и начинают в фоне что-то делать до начала самой отдачи.

>А вот защищаемый range запросы не умеет

Умеет и отвечает по протоколу.

Тупые CDN целыми файлами отвечают, так как у них в кэше целые файлы. Не потому, что им исходный сервер отдает на range-запрос целый файл.

Запросы с range я предлагал не обрабатывать, как обычные, а вообще не отвечать на них. Если сайт не раздает видеофайлы, это простое и рабочее решение.

Ответить | Правка | Наверх | Cообщить модератору

28. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от Гентушник (ok), 27-Май-20, 16:47 
> а вообще не отвечать на них.

По мне это костыль, ведь это нарушение RFC.
Не знаю конечно в каких сценариях браузеры используют этот заголовок кроме загрузки файлов и показа видео, но гарантировать что они этого не будут делать в будущем точно нельзя.

Ответить | Правка | Наверх | Cообщить модератору

1. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +4 +/
Сообщение от Аноним (1), 26-Май-20, 11:43 
Забавно. Средства "безопасности" и "шпионажа" по факту оказались замаскированным LOIC'ом.
Ответить | Правка | Наверх | Cообщить модератору

2. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +11 +/
Сообщение от And (??), 26-Май-20, 12:05 
Верным бывает всегда самый тупой вариант: обычная халтура в спешке до обещанного бизнесу срока закрыть тикет и успеть уволится. :))))
Ответить | Правка | Наверх | Cообщить модератору

9. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от Аноним (9), 26-Май-20, 14:00 
В данном случае это наверное все же не "тупая халтура" а просто "непредусмотренное взаимодействие". Бывает и интереснее, например прозрачные прокси, DPI и т.п. могут быть развернуты для ... получения доступа или нанесения добра своей же внутренней сети.

При креативном подходе к протоколам и алгоритмам вообще можно убедить сделать ремоту вообще совсем не то что было задумано изначально.

Ответить | Правка | Наверх | Cообщить модератору

4. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  –1 +/
Сообщение от Аноним (4), 26-Май-20, 12:49 
Дев. Ляп. Сы. Какугугли. Тырпрайз. Глобально и надёжно.
Ответить | Правка | Наверх | Cообщить модератору

5. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +1 +/
Сообщение от InuYasha (?), 26-Май-20, 13:00 
Хотели как лучше, а получили веслье.
PS: CloudMalware с гугл-капчей из автомобилей уже давно пора бойкотировать.
Ответить | Правка | Наверх | Cообщить модератору

7. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от Аноним (6), 26-Май-20, 13:26 
Пока есть возможность менее чем за 100 долларов в месяц наливать в канал 10+G флудом, такие сервисы будут безальтернативны для посещаемых сайтов.
L7 ботнеты отфильтровывать без централизации и сопоставления данных также очень непросто (невозможно).
Это зависит не только от желания владельца сайта что-то использовать или не использовать.
Ответить | Правка | Наверх | Cообщить модератору

8. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от InuYasha (?), 26-Май-20, 13:51 
Сервисы-то - это понятно. Просто даже в этой новости есть список альтернатив клаудфлэйру - авось кто-то из них имеет лучшую политику приватности или хотя бы свою капчу генерит?
Ответить | Правка | Наверх | Cообщить модератору

15. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от Аноним (6), 26-Май-20, 16:50 
Более приватные - платные.
Ответить | Правка | Наверх | Cообщить модератору

18. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от flkghdfgklh (?), 26-Май-20, 16:56 
Вылезай из криокамеры. CF уже месяц, как перешли на hCaptcha которым при этом предоставили свои сервера, то есть генерят капчу у себя
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

21. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от InuYasha (?), 26-Май-20, 17:57 
> Вылезай из криокамеры. CF уже месяц, как перешли на hCaptcha которым при
> этом предоставили свои сервера, то есть генерят капчу у себя

Не хочу http://favim.com/image/64232/
И ещё месяц не буду ходить на CF-сайты.

Ответить | Правка | Наверх | Cообщить модератору

25. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от Аноним (25), 27-Май-20, 10:09 
> L7 ботнеты отфильтровывать без централизации и сопоставления данных также очень непросто

Да вообще-то именно L7 обычно вывешивает достаточно аномалий чтобы отличить бота от человека. Иногда под раздачу конечно может попасть и человек - но собственно клаудспайварь с своей заколебавшей всех капчей за вот это самое как раз и известна больше всего.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

10. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +2 +/
Сообщение от Аноним (9), 26-Май-20, 14:02 
> Хотели как лучше, а получили веслье.

Это в смысле, хотели только шпионить за юзерами, стрипая SSL но хакерье обнаглело и шпион стал LOIC'ом? Это тот самый случай когда хочется сказать "так ему и надо!". Желательно чтобы еще пару владельцев CDN посадили за DDOS-ы :)

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

11. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от InuYasha (?), 26-Май-20, 14:29 
Кстати, да, +1

Эх, ЛОИК, ХОИК... ностальгия. )

Ответить | Правка | Наверх | Cообщить модератору

23. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от пох. (?), 27-Май-20, 09:12 
> Желательно чтобы еще пару владельцев CDN посадили за DDOS-ы

потребителей услуги же ж.
Владельцы, как обычно, мынивинаваты, хателикаклучше.

P.S. и вот обратите внимание - при всем неудержимом желании отдельных государств (по всему миру) лезть "регулировать" интернеты - ни за ddos'ы, ни за спам, ни за разработку подобного софта - не только никого и никогда не сажают, а еще и оплачивают разработки.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

26. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от Аноним (26), 27-Май-20, 10:13 
> потребителей услуги же ж.

Адресатов DDoS чтоли? Ну в принципе я не против, пусть ответят за использование клаудспайвари :). Но мне кажется что даже канцелярские крысы могут заметить в этой схеме какой-то подвох.

> Владельцы, как обычно, мынивинаваты, хателикаклучше.

При том лучше - для своего кошелька, угу.

> за спам, ни за разработку подобного софта - не только никого
> и никогда не сажают, а еще и оплачивают разработки.

Ну так за скромное вознаграждение такие фирмочки и сами продадут все данные. Ничего личного, это бизнес.

Ответить | Правка | Наверх | Cообщить модератору

12. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от anonymous (??), 26-Май-20, 15:56 
Нет уже там гуглокапчи. Теперь там другая, не от гугла.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

22. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от пох. (?), 27-Май-20, 09:05 
поссорились, перестали делиться трекингом? Или просто наладили внутренний обмен, беспалева...

Ответить | Правка | Наверх | Cообщить модератору

24. "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."  +/
Сообщение от anonymous (??), 27-Май-20, 09:56 
Перестали.
"it helps address a privacy concern inherent to relying on a Google service"
https://blog.cloudflare.com/moving-from-recaptcha-to-hcaptcha/
Ответить | Правка | Наверх | Cообщить модератору

13. "RangeAmp - серия атак на CDN, манипулирующая HTTP-заголовком..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 26-Май-20, 16:23 
> CDN загрузит с целевого сервера весь файл
> диапазоны не агрегируются, а последовательно перебираются

Молодцы!

Ответить | Правка | Наверх | Cообщить модератору

27. "RangeAmp - серия атак на CDN, манипулирующая HTTP-заголовком..."  –1 +/
Сообщение от Аноним (27), 27-Май-20, 13:33 
Fastly опять предоставляют самый качественный продукт. Жалко у них маркетинг не такой эффективный как у Cloudflare. Fastly заслуживает больше внимания.
Ответить | Правка | Наверх | Cообщить модератору

29. "RangeAmp - серия атак на CDN, манипулирующая HTTP-заголовком..."  +/
Сообщение от Аноним (29), 28-Май-20, 08:41 
Очень дорго и нет быстрого получения услуг без заполнения форм, фтопгу.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру