Группа исследователей из Пекинского университета, Университета Цинхуа и Техасского университета в Далласе выявила новый класс DoS-атак - RangeAmp, основанный на использовании HTTP-заголовка Range для организации усиления трафика через сети доставки контента (CDN). Суть метода в том, что из-за особенности обработки Range-заголовков во многих CDN атакующий может запросить через CDN один байт из большого файла, но CDN загрузит с целевого сервера весь файл или значительно больший блок данных для помещения в кэш. Степень усиления трафика при такой атаке в зависимости от CDN составляет от 724 до 43330 раз, что может использоваться для снижения пропускной способности канала связи до сайта жертвы...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53026
Это атаки на CDN. Бэкэнд сайта в сценарии а) может не отвечать на range запросы вообще.В случае сценария б) CDN достаточно полностью заворачивать range запросы, в которых указывается неадекватное количество интервалов и корректно разруливать отдачу кусков для всех прочих (придется погромистам попотеть и вместо заглушек сделать реализацию).
На цдн отрпасляется 100 запросов по 1 байту из 100 файлов. Цдн range запросы понимает и отправляет 100 range запросов, пускай на 1кБ, запросы на защищаемый сервер. А вот защищаемый range запросы не умеет, по этому на каждый из 100 запросов от отвечает 1МБ+ файлами. Вы же не забыли, что если range заголовок не обрабатывается сервером, то возвращается всё содержимое, да?
Так на кого эта атака?
Уязвимое поведение однозначно у CDN. Это они получают запросы и начинают в фоне что-то делать до начала самой отдачи.>А вот защищаемый range запросы не умеет
Умеет и отвечает по протоколу.
Тупые CDN целыми файлами отвечают, так как у них в кэше целые файлы. Не потому, что им исходный сервер отдает на range-запрос целый файл.
Запросы с range я предлагал не обрабатывать, как обычные, а вообще не отвечать на них. Если сайт не раздает видеофайлы, это простое и рабочее решение.
> а вообще не отвечать на них.По мне это костыль, ведь это нарушение RFC.
Не знаю конечно в каких сценариях браузеры используют этот заголовок кроме загрузки файлов и показа видео, но гарантировать что они этого не будут делать в будущем точно нельзя.
Забавно. Средства "безопасности" и "шпионажа" по факту оказались замаскированным LOIC'ом.
Верным бывает всегда самый тупой вариант: обычная халтура в спешке до обещанного бизнесу срока закрыть тикет и успеть уволится. :))))
В данном случае это наверное все же не "тупая халтура" а просто "непредусмотренное взаимодействие". Бывает и интереснее, например прозрачные прокси, DPI и т.п. могут быть развернуты для ... получения доступа или нанесения добра своей же внутренней сети.При креативном подходе к протоколам и алгоритмам вообще можно убедить сделать ремоту вообще совсем не то что было задумано изначально.
Дев. Ляп. Сы. Какугугли. Тырпрайз. Глобально и надёжно.
Хотели как лучше, а получили веслье.
PS: CloudMalware с гугл-капчей из автомобилей уже давно пора бойкотировать.
Пока есть возможность менее чем за 100 долларов в месяц наливать в канал 10+G флудом, такие сервисы будут безальтернативны для посещаемых сайтов.
L7 ботнеты отфильтровывать без централизации и сопоставления данных также очень непросто (невозможно).
Это зависит не только от желания владельца сайта что-то использовать или не использовать.
Сервисы-то - это понятно. Просто даже в этой новости есть список альтернатив клаудфлэйру - авось кто-то из них имеет лучшую политику приватности или хотя бы свою капчу генерит?
Более приватные - платные.
Вылезай из криокамеры. CF уже месяц, как перешли на hCaptcha которым при этом предоставили свои сервера, то есть генерят капчу у себя
> Вылезай из криокамеры. CF уже месяц, как перешли на hCaptcha которым при
> этом предоставили свои сервера, то есть генерят капчу у себяНе хочу http://favim.com/image/64232/
И ещё месяц не буду ходить на CF-сайты.
> L7 ботнеты отфильтровывать без централизации и сопоставления данных также очень непростоДа вообще-то именно L7 обычно вывешивает достаточно аномалий чтобы отличить бота от человека. Иногда под раздачу конечно может попасть и человек - но собственно клаудспайварь с своей заколебавшей всех капчей за вот это самое как раз и известна больше всего.
> Хотели как лучше, а получили веслье.Это в смысле, хотели только шпионить за юзерами, стрипая SSL но хакерье обнаглело и шпион стал LOIC'ом? Это тот самый случай когда хочется сказать "так ему и надо!". Желательно чтобы еще пару владельцев CDN посадили за DDOS-ы :)
Кстати, да, +1Эх, ЛОИК, ХОИК... ностальгия. )
> Желательно чтобы еще пару владельцев CDN посадили за DDOS-ыпотребителей услуги же ж.
Владельцы, как обычно, мынивинаваты, хателикаклучше.P.S. и вот обратите внимание - при всем неудержимом желании отдельных государств (по всему миру) лезть "регулировать" интернеты - ни за ddos'ы, ни за спам, ни за разработку подобного софта - не только никого и никогда не сажают, а еще и оплачивают разработки.
> потребителей услуги же ж.Адресатов DDoS чтоли? Ну в принципе я не против, пусть ответят за использование клаудспайвари :). Но мне кажется что даже канцелярские крысы могут заметить в этой схеме какой-то подвох.
> Владельцы, как обычно, мынивинаваты, хателикаклучше.
При том лучше - для своего кошелька, угу.
> за спам, ни за разработку подобного софта - не только никого
> и никогда не сажают, а еще и оплачивают разработки.Ну так за скромное вознаграждение такие фирмочки и сами продадут все данные. Ничего личного, это бизнес.
Нет уже там гуглокапчи. Теперь там другая, не от гугла.
поссорились, перестали делиться трекингом? Или просто наладили внутренний обмен, беспалева...
Перестали.
"it helps address a privacy concern inherent to relying on a Google service"
https://blog.cloudflare.com/moving-from-recaptcha-to-hcaptcha/
> CDN загрузит с целевого сервера весь файл
> диапазоны не агрегируются, а последовательно перебираютсяМолодцы!
Fastly опять предоставляют самый качественный продукт. Жалко у них маркетинг не такой эффективный как у Cloudflare. Fastly заслуживает больше внимания.
Очень дорго и нет быстрого получения услуг без заполнения форм, фтопгу.