美國服務(wù)器CPDoS攻擊 是針對網(wǎng)絡(luò )緩存系統的一種緩存攻擊，黑客可以利用該攻擊迫使目標網(wǎng)站向大多數訪(fǎng)問(wèn)者提供錯誤頁(yè)面，而不是美國服務(wù)器原本合法的內容或資源。美國服務(wù)器CPDoS攻擊會(huì )影響到Varnish等反向代理緩存系統，以及一些廣泛使用的內容分發(fā)網(wǎng)絡(luò )CDN服務(wù)。

內容分發(fā)網(wǎng)絡(luò )CDN服務(wù)是一組地理上分布的服務(wù)器，它們位于搭建網(wǎng)站的美國服務(wù)器主機和訪(fǎng)問(wèn)者之間，以?xún)?yōu)化網(wǎng)站的性能。CDN服務(wù)只是簡(jiǎn)單地存儲/緩存來(lái)自源美國服務(wù)器主機的靜態(tài)文件，包括HTML頁(yè)面、java文件、樣式表、圖像和視頻等，并更快地將數據交付給訪(fǎng)問(wèn)者，而無(wú)需一次又一次地返回到源服務(wù)器。

通常，在定義時(shí)間或手動(dòng)清除之后，CDN服務(wù)器通過(guò)從原始服務(wù)器檢索每個(gè)WEB頁(yè)面的新更新副本來(lái)刷新緩存，并將數據存儲起來(lái)以備將來(lái)的請求。而導致CDN中間服務(wù)器被錯誤配置為緩存WEB資源或頁(yè)面，其中包含原始服務(wù)器返回的錯誤響應的攻擊，就稱(chēng)之為CPDoS攻擊，是緩存中毒拒絕服務(wù)的縮寫(xiě)。

根據三位德國學(xué)者的說(shuō)法，CPDoS攻擊僅通過(guò)發(fā)送一個(gè)包含格式錯誤的標頭的HTTP請求，就刻意威脅到網(wǎng)站W(wǎng)EB資源的可用性，原文：“當黑客可以為可緩存的資源生成HTTP請求時(shí)，問(wèn)題就出現了，其中的請求包含不準確的字段，這些字段被緩存系統忽略，但是在原始服務(wù)器處理時(shí)引發(fā)錯誤?！?/p>

美國服務(wù)器CPDOS攻擊的工作原理：

遠程黑客通過(guò)發(fā)送包含格式錯誤的標頭的HTTP請求來(lái)請求目標網(wǎng)站的WEB頁(yè)面。如果中間的CDN服務(wù)器沒(méi)有所請求資源的副本，它將把請求轉發(fā)給源WEB服務(wù)器，而源WEB服務(wù)器將由于格式錯誤而崩潰。

因此，原始服務(wù)器隨后返回一個(gè)錯誤頁(yè)面，該錯誤頁(yè)面最終由緩存服務(wù)器存儲，而不是由請求的資源存儲?，F在，每當合法的訪(fǎng)問(wèn)者試圖獲取目標資源時(shí)，他們將獲得緩存的錯誤頁(yè)面，而不是原始內容。CDN服務(wù)器也會(huì )將相同的錯誤頁(yè)面傳播到CDN網(wǎng)絡(luò )的其他邊緣節點(diǎn)，導致受害者網(wǎng)站的目標資源不可用。

值得注意的是，一個(gè)簡(jiǎn)單的請求就足以用一個(gè)錯誤頁(yè)面替換緩存中的真實(shí)內容。這意味著(zhù)這樣的請求仍然低于WEB應用程序防火墻WAFs和DDoS保護的檢測閾值，特別是當它們掃描大量不規則網(wǎng)絡(luò )流量時(shí)。

此外，可以利用CPDoS攻擊來(lái)阻止通過(guò)緩存分發(fā)的補丁或固件更新，從而防止設備和軟件中的漏洞被修復，黑客還可以禁用美國服務(wù)器關(guān)鍵任務(wù)網(wǎng)站，如網(wǎng)上銀行或官方網(wǎng)站上的重要安全警報或消息。

要對CDN執行這種緩存中毒攻擊，有三種類(lèi)型的HTTP請求：

1）HTTP頭文件大小過(guò)大/HHO：在WEB應用程序使用比原始服務(wù)器接受更大的頭文件大小限制的緩存的情況下，包含超大頭文件的HTTP請求。

2）HTTP元字符/HMC：這種攻擊不發(fā)送過(guò)大的報頭，而是嘗試使用包含有害元字符的請求報頭繞過(guò)緩存。

3）HTTP方法覆蓋/HMO：使用HTTP覆蓋頭繞過(guò)禁止刪除請求的安全策略。

以上就是關(guān)于美國服務(wù)器CPDoS攻擊原理介紹，希望能夠幫助美國服務(wù)器用戶(hù)更好的了解這種網(wǎng)絡(luò )攻擊的工作原理。