Китайские исследователя рассказали про найденный ими новый способ усиления HTTP-трафика для выведения из строя web-сайтов и сетей доставки контента (CDN). Представленная ими DoS-атака под названием RangeAmp базируется на некорректной реализации HTTP-атрибута Range Requests.
Исходно запросы Range являются частью стандарта HTTP и позволяют клиенту (как правило, браузеру) запрашивать у сервера только определенную часть (диапазон) файлов. Данная функция была создана для приостановки и возобновления трафика в контролируемых (пауза/возобновление действия) или неконтролируемых (перегрузка или отключение сети) ситуациях.
Спомощью вредоносных запросов Range злоумышленник может усиливать ответную реакцию серверов и CDN. При этом у атаки RangeAmp есть два варианта: 1) отправить вредоносный запрос Range провайдеру сети доставки контента; 2) то же самое, но трафик направляется через другие серверы CDN, усиливается внутри сетей доставки контента и вызывает сбой серверов CDN.
У каждого из способов есть свои плюсы и минусы (с точки зрения атакующего). Первый вариант усиливает трафик в 724-43330 раз, второй сложнее и позволяет усилить трафик «всего лишь» в 7500 раз, однако он может зацепить и вывести из строя сотни и даже тысячи сайтов одновременно.
Из 13 исследованных экспертами провайдеров сетей доставки контента, все оказались уязвимыми к RangeAmp, не к одному так к другому способу. 12 из 13 провайдеров уже исправили уязвимость: это Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, G-Core Labs, Huawei Cloud, KeyCDN и Tencent Cloud. От провайдера StackPath на текущий момент исследователи не смогли добиться ответа.
Читайте также на АКБ: