CDN流量放大攻击思路

囧思九千 2013-10-16 18:41:00

0x00 背景


大家好,我们是OpenCDN团队,专注于CDN技术的开发和研究。

首先,为了对CDN进行攻击,我们必须清楚CDN的工作原理,这里我们再来简单介绍一下CDN的工作模型。

CDN的全称是Content Delivery Network(内容分发网络),通过在网络各处的加速节点服务器来为网站抵挡恶意流量,把正常流量进行转发。用简单点的话来说,CDN一般有三个作用

1. 跨运营商加速我们自己的网站常常只属于一个运营商(比如电信)而加速节点遍布每家运营商于是和网站不同运营商比如联通的用户访问起来就不会那么慢了
2. 缓存加速很多的静态资源以及一部分页面更新都是比较慢的比如首页),这个时候CDN就会根据浏览器的max-age和last-modified值以及管理员的预设值来进行缓存于是很多流量CDN节点就不会每次都来向网站请求CDN节点可以直接自作主张地将命中的缓存内容返回  
3. 恶意流量过滤这是CDN非常重要的一个作用也是很多网站会用CDN的原因因为CDN能为我们抵挡攻击大流量攻击普通的攻击比如注入等),只有正常流量才会转发给网站

这里还要说明几个名词:

源站:我们自己的那个网站就被称为是源站。 
反向代理:CDN节点向源站请求数据的方式就叫反向代理,也就是上文所说的转发。 
回源:CDN节点向源站请求数据的行为就叫做回源。 

0x01 探究之旅


我们在做OpenCDN测试的时候,遇到了一些小问题。发现一个没有人访问的网站居然会有流量,并且有着惊人的访问次数。

我们的OpenCDN有2分钟一次的反向代理检测,但是这次数加起来也就区区的720次,而这400万的访问次数是哪里冒出来的?然后我们查看了日志,发现单个域名的日志到达了58G之多,而将其打开之后发现X-Forwarded-For字段中(X-Forwarded-For机制是通过一层代理后记录一个IP,让源站在使用CDN后能够获得真实的访客IP而不是CDN节点IP)充斥着大量有的IP,而且都是本服务器IP。我们瞬间明白了什么,然后去管理端上验证了一下,果不其然地,我们一不小心把源站IP设成了CDN节点的IP,不过当时我们并没有发现。于是这么大的流量也好解释了,由于2分钟一次的检测触发CDN节点的回源,而这个站点的源站是CDN节点本身,于是CDN就开始不断自身反向代理死循环,这样一个请求就被无限地放大了。当超时或者HEADER太大(就是X-Forwarded-For字段导致HEADER溢出)的时候,请求会被丢弃。

把站点的源站IP设为CDN节点本身,能够让CDN节点进行自我的反向代理死循环,然后放大流量。

貌似有点意思,小伙伴们于是马上就行动起来了,进行了实验。

我们在安全宝上成功地将源站IP设置成了某个为我们加速的CDN节点IP,然后在美帝的一台小vps上开webbench用2000个线程去打这个这个站点(无论是哪个CDN节点收到请求,请求最终都会汇聚到那个无辜的被设源站的CDN节点),不过实验结果并不理想,节点没有宕机,通过IP反查找到一台和我们公用一个CDN节点的网站,通过这个CDN节点反向代理访问那个网站,出现了卡顿和打不开情况,仅此而已。由于没法采集到安全宝的这个节点的性能数据,我们也没法对我们的攻击做出评估。而且我们这个实验缺少了一个对照组,到底是因为死循环把流量放大导致CDN节点卡顿,还是这个2000线程本身就能把CDN节点打卡。

于是我们总结了一下,猜想这种节点反向代理自身的攻击手法可能可以适用于这样的场景

你想要攻击某个CDN节点,但是如果打404页面消耗不了太多,而如果打CDN中的某个站点,因为流量会穿透过去,可能还没有把CDN节点打掉,背后的站点早被穿透死了。这个时候,如果让节点进行自身反向代理死循环,他就会把所有的流量给吃进去,并且没法吐出来,这个时候可以产生一定量的流量杠杆效应,可以使得CDN节点出现异常。

不过话说回来,这种攻击的防御方式也异常简单,只要在设置源站IP的时候,不让设置CDN节点IP就行了,只要在网站前端交互输入的时候加点验证就行了。

我们考虑到我们没法对不是我们的CDN节点的带宽上限,性能上限有个很好的评估,黑盒式的摸索可能带来不了什么,于是我们拿我们自己的CDN节点开刀。

同时我们继续对这个思路进行探索。我们发现,既然一个节点能死循环,那两个节点怎么样?结果是肯定的,并且产生了质的变化。我们假设了这样的一个场景

我们的opencdn.cc在甲CDN服务商注册服务,并且在乙CDN服务商注册服务,然后我们得到甲CDN服务商的一个CDN加速节点1.1.1.1,然后又得到乙CDN服务商的一个CDN加速节点2.2.2.2。 然后聪明的你一定已经猜到了。我们把在甲CDN服务商设置源站为乙的加速节点2.2.2.2,在乙CDN服务商设置源站为甲的加速节点1.1.1.1,然后甲会问乙去索取源站,乙又来问甲索取源站,于是1.1.1.1和2.2.2.2就很开心地并且不停地交流了起来~

于是我们也进行了实验。这次我们采用POST包进行测试。

用POST包的原因有两个

1.CDN节点是会有缓存机制的刚刚你请求的地址命中缓存那么就直接返回不会成为死循环了而POST包则有一个很好的特性绝对回源一点也不含糊
2.POST包可以扩大体积在同等连接数的情况下让效应更加明显

我们本次测试发送500个POST包,每个体积大概为10k左右。然后总共发送的流量为5M。

然后让我们来看下两个节点的反应

不过似乎到了带宽上限。因为我们手中的机器毕竟也不是很给力。

然后让我们来看下这500个POST包产生的效果

58.215.139.124
RX bytes:5473847154 (5.0 GiB) TX bytes:17106340685 (15.9 GiB)
RX bytes:6014294496 (5.6 GiB) TX bytes:17717990777 (16.5 GiB)
流入 540447342(515MB) 流出 611650092(583MB)
112.65.231.233
RX bytes:5583125549 (5.1 GiB) TX bytes:5022744608 (4.6 GiB)
RX bytes:6133578284 (5.7 GiB) TX bytes:5649798353 (5.2 GiB)
流入 550452735(524MB) 流出 627053745(598MB) 

我们拿最小的进行测算吧,大概把流量扩大了100倍左右,然后如果把流入流出加起来就是扩大了200倍左右。

这一种攻击方式和前一种相比有两个优点

1.CDN服务商不能把源站IP做限制来防御因为他无法知道别家的CDN节点IP
2.能借刀杀人可以用一家CDN服务商的CDN节点来打另外一家CDN服务商

然后我们还进行了一些联想,一个站点可以把两个节点陷入死循环,如果把更多的节点来进来呢?

我们可以这样。让多个CDN节点和一个CDN节点死循环,把中间的CDN节点带宽耗尽。

我们还可以这样。让三个CDN节点死循环,如果有做流量上的流入流出探测限制,这样能保证流入流出不为一个IP。

毕竟在CDN服务商添加一个域名的代价是很小的(免费),我们可以用一个一个域名将节点串起来,然后啪一下开始流量死循环震荡。

好了,让我们用四个字总结一下这次的漏洞的特点:借力打力。

0x02 防御方法


那么如何来防御这种以及可能演化出来的攻击呢?

1. 禁止把源站IP设为CDN节点本身这是必须的)。
2. 限制每个站点的带宽  
3. 对请求超时的源站做一定限制  
4. 通过X-Forwarded-For来进行限制超过多少层自动丢弃

以及CDN节点已经存在的一系列的软硬防都可以让一部分的攻击流量无法成型,自然也无法形成死循环震荡。

本文仅为一种CDN流量放大攻击的思路,只是做过一些小规模的实验,也欢迎大牛们进行验证。如有不足之处或者逻辑上的错误还请提出,谢谢您的阅读。

by OpenCDN成员囧思八千Twwy.net

评论

I

insight-labs 2013-10-16 18:56:11

这个略微有点淫荡啊……

园长 2013-10-16 19:24:37

高端,CDN。

D

Damo 2013-10-16 19:34:10

高端大气

M

Mujj 2013-10-16 20:16:04

高端大气上档次。

M

Mr.Anderson 2013-10-17 10:50:58

条件苛刻。

L

lxsec 2013-10-19 14:58:20

好猥琐的方法...

D

DoubleHappy 2013-10-20 13:12:03

给赞!

V

v0dga 2013-10-23 09:47:32

有点类似于广播风暴

廷廷 2013-11-04 13:40:30

高端大气上档次

核攻击 2013-11-23 10:56:15

猥琐的一逼啊……

路人甲 2016-02-24 10:38:39

猥琐的一逼啊……

路人甲 2016-02-24 10:47:05

亲身体会过这个问题加速乐早在一年前就解决了!

R

rockes 2016-02-24 10:59:50

真的是好赞,让他们互殴,后面的站就死翘翘了,经典!

路人甲 2016-02-24 12:00:32

加速乐能识别吧,无招胜有招,零盾超过各种盾

路人甲 2016-02-24 12:01:09

@lonny 罗L同学好

路人甲 2016-05-09 21:04:39

@rockes 后面的站没有死,只是CDN节点挂掉了而已,你木看懂作者说的意思。

D

demo 2016-06-03 11:52:07

早已解决,CDN厂商水平层次不齐啊。
X-Forwarded-For 早就弃用了。

囧思九千

杭电信息安全协会

twitter weibo github wechat

随机分类

逻辑漏洞 文章:15 篇
SQL注入 文章:39 篇
CTF 文章:62 篇
IoT安全 文章:29 篇
木马与病毒 文章:125 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录