Бесплатно Экспресс-аудит сайта:

27.05.2020

DoS-атака RangeAmp способна вывести из строя тысячи сайтов одновременно

Команда китайских исследователей нашла новый способ усиления HTTP-трафика для выведения из строя web-сайтов и сетей доставки контента (CDN). Представленная ими DoS-атака под названием RangeAmp базируется на некорректной реализации HTTP-атрибута Range Requests.

Запросы Range являются частью стандарта HTTP и позволяют клиенту (как правило, браузеру) запрашивать у сервера только определенную часть (диапазон) файлов. Данная функция была создана для приостановки и возобновления трафика в контролируемых (пауза/возобновление действия) или неконтролируемых (перегрузка или отключение сети) ситуациях.

По словам китайских исследователей, с помощью вредоносных запросов Range злоумышленник может усиливать ответную реакцию серверов и CDN. У атаки RangeAmp есть два варианта. Первый, RangeAmp Small Byte Range (SBR), предполагает отправку вредоносного запроса Range провайдеру сети доставки контента. Это усиливает трафик к целевому серверу и в конечном итоге вызывает отказ в обслуживании атакуемого сайта.

Второй вариант атаки, RangeAmp Overlapping Byte Ranges (OBR), также предполагает отправку вредоносного запроса Range провайдеру сети доставки контента. Однако в данном случае трафик направляется через другие серверы CDN, усиливается внутри сетей доставки контента и вызывает сбой серверов CDN. В результате недоступной становится как сама CDN, так и многие другие сайты.

Из двух вариантов атаки сильнее усиливает трафик вариант SBR. В ходе исследования специалистам удалось усилить трафик в 724-43330 раз. Вариант OBR сложнее в осуществлении и позволяет усилить трафик в 7500 раз. Однако он также является более опасным, поскольку позволяет вывести из строя тысячи сайтов одновременно.

Исследователи протестировали RangeAmp в отношении 13 провайдеров сетей доставки контента и обнаружили, что все они уязвимы к данной атаке. Шесть из них также уязвимы к варианту OBR (при использовании в определенных комбинациях).

Специалисты в должном порядке уведомили провайдеров CDN об уязвимости, и 12 из 13 исправили ее. В список исправивших входят: Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, G-Core Labs, Huawei Cloud, KeyCDN и Tencent Cloud. От провайдера StackPath исследователи не смогли добиться никакого ответа.