forum.opennet.ru - "RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..." (25)

"RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"RangeAmp - серия атак на сайты и CDN, манипулирующая HTTP-за..."	+/–
Сообщение от opennews (??), 26-Май-20, 11:43
Группа исследователей из Пекинского университета, Университета Цинхуа и Техасского университета в Далласе выявила новый класс DoS-атак - RangeAmp, основанный на использовании HTTP-заголовка Range для организации усиления трафика через сети доставки контента (CDN). Суть метода в том, что из-за особенности обработки Range-заголовков во многих CDN атакующий может запросить через CDN один байт из большого файла, но CDN загрузит с целевого сервера весь файл или значительно больший блок данных для помещения в кэш. Степень усиления трафика при такой атаке в зависимости от CDN составляет от 724 до 43330 раз, что может использоваться для снижения пропускной способности канала связи до сайта жертвы... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53026
Ответить \| Правка \| Cообщить модератору

Оглавление

Это атаки на CDN Бэкэнд сайта в сценарии а может не отвечать на range запросы , Аноним (6), 13:22 , 26-Май-20, (6)

На цдн отрпасляется 100 запросов по 1 байту из 100 файлов Цдн range запросы пон, Аноним (14), 16:38 , 26-Май-20, (14)

Уязвимое поведение однозначно у CDN Это они получают запросы и начинают в фоне , Аноним (6), 17:43 , 26-Май-20, (19) +1

По мне это костыль, ведь это нарушение RFC Не знаю конечно в каких сценариях бра, Гентушник (ok), 16:47 , 27-Май-20, (28)

Забавно Средства безопасности и шпионажа по факту оказались замаскированным, Аноним (1), 11:43 , 26-Май-20, (1) +4

Верным бывает всегда самый тупой вариант обычная халтура в спешке до обещанного, And (??), 12:05 , 26-Май-20, (2) +11

В данном случае это наверное все же не тупая халтура а просто непредусмотренн, Аноним (9), 14:00 , 26-Май-20, (9)

Дев Ляп Сы Какугугли Тырпрайз Глобально и надёжно , Аноним (4), 12:49 , 26-Май-20, (4) –1
Хотели как лучше, а получили веслье PS CloudMalware с гугл-капчей из автомобиле, InuYasha (?), 13:00 , 26-Май-20, (5) +1

Пока есть возможность менее чем за 100 долларов в месяц наливать в канал 10 G фл, Аноним (6), 13:26 , 26-Май-20, (7)

Сервисы-то - это понятно Просто даже в этой новости есть список альтернатив кла, InuYasha (?), 13:51 , 26-Май-20, (8)

Более приватные - платные , Аноним (6), 16:50 , 26-Май-20, (15)
Вылезай из криокамеры CF уже месяц, как перешли на hCaptcha которым при этом пр, flkghdfgklh (?), 16:56 , 26-Май-20, (18)

Не хочу http favim com image 64232 И ещё месяц не буду ходить на CF-сайты , InuYasha (?), 17:57 , 26-Май-20, (21)

Да вообще-то именно L7 обычно вывешивает достаточно аномалий чтобы отличить бота, Аноним (25), 10:09 , 27-Май-20, (25)

Это в смысле, хотели только шпионить за юзерами, стрипая SSL но хакерье обнаглел, Аноним (9), 14:02 , 26-Май-20, (10) +2

Кстати, да, 1Эх, ЛОИК, ХОИК ностальгия , InuYasha (?), 14:29 , 26-Май-20, (11)
потребителей услуги же ж Владельцы, как обычно, мынивинаваты, хателикаклучше P S, пох. (?), 09:12 , 27-Май-20, (23)

Адресатов DDoS чтоли Ну в принципе я не против, пусть ответят за использование , Аноним (26), 10:13 , 27-Май-20, (26)

Нет уже там гуглокапчи Теперь там другая, не от гугла , anonymous (??), 15:56 , 26-Май-20, (12)

поссорились, перестали делиться трекингом Или просто наладили внутренний обмен,, пох. (?), 09:05 , 27-Май-20, (22)

Перестали it helps address a privacy concern inherent to relying on a Google se, anonymous (??), 09:56 , 27-Май-20, (24)

Молодцы , YetAnotherOnanym (ok), 16:23 , 26-Май-20, (13) +1
Fastly опять предоставляют самый качественный продукт Жалко у них маркетинг не , Аноним (27), 13:33 , 27-Май-20, (27) –1

Очень дорго и нет быстрого получения услуг без заполнения форм, фтопгу , Аноним (29), 08:41 , 28-Май-20, (29)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 26-Май-20, 11:43 +4 +/–

Забавно. Средства "безопасности" и "шпионажа" по факту оказались замаскированным LOIC'ом.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от And (??), 26-Май-20, 12:05 +11 +/–

Верным бывает всегда самый тупой вариант: обычная халтура в спешке до обещанного бизнесу срока закрыть тикет и успеть уволится. :))))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #9

4. Сообщение от Аноним (4), 26-Май-20, 12:49 –1 +/–

Дев. Ляп. Сы. Какугугли. Тырпрайз. Глобально и надёжно.

Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от InuYasha (?), 26-Май-20, 13:00 +1 +/–

Хотели как лучше, а получили веслье.
PS: CloudMalware с гугл-капчей из автомобилей уже давно пора бойкотировать.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #10, #12

6. Сообщение от Аноним (6), 26-Май-20, 13:22 +/–

Это атаки на CDN. Бэкэнд сайта в сценарии а) может не отвечать на range запросы вообще.
В случае сценария б) CDN достаточно полностью заворачивать range запросы, в которых указывается неадекватное количество интервалов и корректно разруливать отдачу кусков для всех прочих (придется погромистам попотеть и вместо заглушек сделать реализацию).

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

7. Сообщение от Аноним (6), 26-Май-20, 13:26 +/–

Пока есть возможность менее чем за 100 долларов в месяц наливать в канал 10+G флудом, такие сервисы будут безальтернативны для посещаемых сайтов.
L7 ботнеты отфильтровывать без централизации и сопоставления данных также очень непросто (невозможно).
Это зависит не только от желания владельца сайта что-то использовать или не использовать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #8, #25

8. Сообщение от InuYasha (?), 26-Май-20, 13:51 +/–

Сервисы-то - это понятно. Просто даже в этой новости есть список альтернатив клаудфлэйру - авось кто-то из них имеет лучшую политику приватности или хотя бы свою капчу генерит?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #15, #18

9. Сообщение от Аноним (9), 26-Май-20, 14:00 +/–

В данном случае это наверное все же не "тупая халтура" а просто "непредусмотренное взаимодействие". Бывает и интереснее, например прозрачные прокси, DPI и т.п. могут быть развернуты для ... получения доступа или нанесения добра своей же внутренней сети.
При креативном подходе к протоколам и алгоритмам вообще можно убедить сделать ремоту вообще совсем не то что было задумано изначально.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

10. Сообщение от Аноним (9), 26-Май-20, 14:02 +2 +/–

> Хотели как лучше, а получили веслье.
Это в смысле, хотели только шпионить за юзерами, стрипая SSL но хакерье обнаглело и шпион стал LOIC'ом? Это тот самый случай когда хочется сказать "так ему и надо!". Желательно чтобы еще пару владельцев CDN посадили за DDOS-ы :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11, #23

11. Сообщение от InuYasha (?), 26-Май-20, 14:29 +/–

Кстати, да, +1
Эх, ЛОИК, ХОИК... ностальгия. )

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от anonymous (??), 26-Май-20, 15:56 +/–

Нет уже там гуглокапчи. Теперь там другая, не от гугла.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #22

13. Сообщение от YetAnotherOnanym (ok), 26-Май-20, 16:23 +1 +/–

> CDN загрузит с целевого сервера весь файл
> диапазоны не агрегируются, а последовательно перебираются
Молодцы!

Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Аноним (14), 26-Май-20, 16:38 +/–

На цдн отрпасляется 100 запросов по 1 байту из 100 файлов. Цдн range запросы понимает и отправляет 100 range запросов, пускай на 1кБ, запросы на защищаемый сервер. А вот защищаемый range запросы не умеет, по этому на каждый из 100 запросов от отвечает 1МБ+ файлами. Вы же не забыли, что если range заголовок не обрабатывается сервером, то возвращается всё содержимое, да?
Так на кого эта атака?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #19

15. Сообщение от Аноним (6), 26-Май-20, 16:50 +/–

Более приватные - платные.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

18. Сообщение от flkghdfgklh (?), 26-Май-20, 16:56 +/–

Вылезай из криокамеры. CF уже месяц, как перешли на hCaptcha которым при этом предоставили свои сервера, то есть генерят капчу у себя

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #21

19. Сообщение от Аноним (6), 26-Май-20, 17:43 +1 +/–

Уязвимое поведение однозначно у CDN. Это они получают запросы и начинают в фоне что-то делать до начала самой отдачи.
>А вот защищаемый range запросы не умеет
Умеет и отвечает по протоколу.
Тупые CDN целыми файлами отвечают, так как у них в кэше целые файлы. Не потому, что им исходный сервер отдает на range-запрос целый файл.
Запросы с range я предлагал не обрабатывать, как обычные, а вообще не отвечать на них. Если сайт не раздает видеофайлы, это простое и рабочее решение.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #28

21. Сообщение от InuYasha (?), 26-Май-20, 17:57 +/–

> Вылезай из криокамеры. CF уже месяц, как перешли на hCaptcha которым при
> этом предоставили свои сервера, то есть генерят капчу у себя
Не хочу http://favim.com/image/64232/
И ещё месяц не буду ходить на CF-сайты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

22. Сообщение от пох. (?), 27-Май-20, 09:05 +/–

поссорились, перестали делиться трекингом? Или просто наладили внутренний обмен, беспалева...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #24

23. Сообщение от пох. (?), 27-Май-20, 09:12 +/–

> Желательно чтобы еще пару владельцев CDN посадили за DDOS-ы
потребителей услуги же ж.
Владельцы, как обычно, мынивинаваты, хателикаклучше.
P.S. и вот обратите внимание - при всем неудержимом желании отдельных государств (по всему миру) лезть "регулировать" интернеты - ни за ddos'ы, ни за спам, ни за разработку подобного софта - не только никого и никогда не сажают, а еще и оплачивают разработки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #26

24. Сообщение от anonymous (??), 27-Май-20, 09:56 +/–

Перестали.
"it helps address a privacy concern inherent to relying on a Google service"
https://blog.cloudflare.com/moving-from-recaptcha-to-hcaptcha/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

25. Сообщение от Аноним (25), 27-Май-20, 10:09 +/–

> L7 ботнеты отфильтровывать без централизации и сопоставления данных также очень непросто
Да вообще-то именно L7 обычно вывешивает достаточно аномалий чтобы отличить бота от человека. Иногда под раздачу конечно может попасть и человек - но собственно клаудспайварь с своей заколебавшей всех капчей за вот это самое как раз и известна больше всего.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

26. Сообщение от Аноним (26), 27-Май-20, 10:13 +/–

> потребителей услуги же ж.
Адресатов DDoS чтоли? Ну в принципе я не против, пусть ответят за использование клаудспайвари :). Но мне кажется что даже канцелярские крысы могут заметить в этой схеме какой-то подвох.
> Владельцы, как обычно, мынивинаваты, хателикаклучше.
При том лучше - для своего кошелька, угу.
> за спам, ни за разработку подобного софта - не только никого
> и никогда не сажают, а еще и оплачивают разработки.
Ну так за скромное вознаграждение такие фирмочки и сами продадут все данные. Ничего личного, это бизнес.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

27. Сообщение от Аноним (27), 27-Май-20, 13:33 –1 +/–

Fastly опять предоставляют самый качественный продукт. Жалко у них маркетинг не такой эффективный как у Cloudflare. Fastly заслуживает больше внимания.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

28. Сообщение от Гентушник (ok), 27-Май-20, 16:47 +/–

> а вообще не отвечать на них.
По мне это костыль, ведь это нарушение RFC.
Не знаю конечно в каких сценариях браузеры используют этот заголовок кроме загрузки файлов и показа видео, но гарантировать что они этого не будут делать в будущем точно нельзя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

29. Сообщение от Аноним (29), 28-Май-20, 08:41 +/–

Очень дорго и нет быстрого получения услуг без заполнения форм, фтопгу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 26-Май-20, 11:43	+4 +/–
Забавно. Средства "безопасности" и "шпионажа" по факту оказались замаскированным LOIC'ом.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2

2. Сообщение от And (??), 26-Май-20, 12:05	+11 +/–
Верным бывает всегда самый тупой вариант: обычная халтура в спешке до обещанного бизнесу срока закрыть тикет и успеть уволится. :))))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #9

4. Сообщение от Аноним (4), 26-Май-20, 12:49	–1 +/–
Дев. Ляп. Сы. Какугугли. Тырпрайз. Глобально и надёжно.
Ответить \| Правка \| Наверх \| Cообщить модератору

5. Сообщение от InuYasha (?), 26-Май-20, 13:00	+1 +/–
Хотели как лучше, а получили веслье. PS: CloudMalware с гугл-капчей из автомобилей уже давно пора бойкотировать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7, #10, #12

6. Сообщение от Аноним (6), 26-Май-20, 13:22	+/–
Это атаки на CDN. Бэкэнд сайта в сценарии а) может не отвечать на range запросы вообще. В случае сценария б) CDN достаточно полностью заворачивать range запросы, в которых указывается неадекватное количество интервалов и корректно разруливать отдачу кусков для всех прочих (придется погромистам попотеть и вместо заглушек сделать реализацию).
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #14

7. Сообщение от Аноним (6), 26-Май-20, 13:26	+/–
Пока есть возможность менее чем за 100 долларов в месяц наливать в канал 10+G флудом, такие сервисы будут безальтернативны для посещаемых сайтов. L7 ботнеты отфильтровывать без централизации и сопоставления данных также очень непросто (невозможно). Это зависит не только от желания владельца сайта что-то использовать или не использовать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #8, #25

8. Сообщение от InuYasha (?), 26-Май-20, 13:51	+/–
Сервисы-то - это понятно. Просто даже в этой новости есть список альтернатив клаудфлэйру - авось кто-то из них имеет лучшую политику приватности или хотя бы свою капчу генерит?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #15, #18

9. Сообщение от Аноним (9), 26-Май-20, 14:00	+/–
В данном случае это наверное все же не "тупая халтура" а просто "непредусмотренное взаимодействие". Бывает и интереснее, например прозрачные прокси, DPI и т.п. могут быть развернуты для ... получения доступа или нанесения добра своей же внутренней сети. При креативном подходе к протоколам и алгоритмам вообще можно убедить сделать ремоту вообще совсем не то что было задумано изначально.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

10. Сообщение от Аноним (9), 26-Май-20, 14:02	+2 +/–
> Хотели как лучше, а получили веслье. Это в смысле, хотели только шпионить за юзерами, стрипая SSL но хакерье обнаглело и шпион стал LOIC'ом? Это тот самый случай когда хочется сказать "так ему и надо!". Желательно чтобы еще пару владельцев CDN посадили за DDOS-ы :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #11, #23

11. Сообщение от InuYasha (?), 26-Май-20, 14:29	+/–
Кстати, да, +1 Эх, ЛОИК, ХОИК... ностальгия. )
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

12. Сообщение от anonymous (??), 26-Май-20, 15:56	+/–
Нет уже там гуглокапчи. Теперь там другая, не от гугла.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #22

13. Сообщение от YetAnotherOnanym (ok), 26-Май-20, 16:23	+1 +/–
> CDN загрузит с целевого сервера весь файл > диапазоны не агрегируются, а последовательно перебираются Молодцы!
Ответить \| Правка \| Наверх \| Cообщить модератору

14. Сообщение от Аноним (14), 26-Май-20, 16:38	+/–
На цдн отрпасляется 100 запросов по 1 байту из 100 файлов. Цдн range запросы понимает и отправляет 100 range запросов, пускай на 1кБ, запросы на защищаемый сервер. А вот защищаемый range запросы не умеет, по этому на каждый из 100 запросов от отвечает 1МБ+ файлами. Вы же не забыли, что если range заголовок не обрабатывается сервером, то возвращается всё содержимое, да? Так на кого эта атака?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #19

15. Сообщение от Аноним (6), 26-Май-20, 16:50	+/–
Более приватные - платные.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

18. Сообщение от flkghdfgklh (?), 26-Май-20, 16:56	+/–
Вылезай из криокамеры. CF уже месяц, как перешли на hCaptcha которым при этом предоставили свои сервера, то есть генерят капчу у себя
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #21

19. Сообщение от Аноним (6), 26-Май-20, 17:43	+1 +/–
Уязвимое поведение однозначно у CDN. Это они получают запросы и начинают в фоне что-то делать до начала самой отдачи. >А вот защищаемый range запросы не умеет Умеет и отвечает по протоколу. Тупые CDN целыми файлами отвечают, так как у них в кэше целые файлы. Не потому, что им исходный сервер отдает на range-запрос целый файл. Запросы с range я предлагал не обрабатывать, как обычные, а вообще не отвечать на них. Если сайт не раздает видеофайлы, это простое и рабочее решение.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #28

21. Сообщение от InuYasha (?), 26-Май-20, 17:57	+/–
> Вылезай из криокамеры. CF уже месяц, как перешли на hCaptcha которым при > этом предоставили свои сервера, то есть генерят капчу у себя Не хочу http://favim.com/image/64232/ И ещё месяц не буду ходить на CF-сайты.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

22. Сообщение от пох. (?), 27-Май-20, 09:05	+/–
поссорились, перестали делиться трекингом? Или просто наладили внутренний обмен, беспалева...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #24

23. Сообщение от пох. (?), 27-Май-20, 09:12	+/–
> Желательно чтобы еще пару владельцев CDN посадили за DDOS-ы потребителей услуги же ж. Владельцы, как обычно, мынивинаваты, хателикаклучше. P.S. и вот обратите внимание - при всем неудержимом желании отдельных государств (по всему миру) лезть "регулировать" интернеты - ни за ddos'ы, ни за спам, ни за разработку подобного софта - не только никого и никогда не сажают, а еще и оплачивают разработки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #26

24. Сообщение от anonymous (??), 27-Май-20, 09:56	+/–
Перестали. "it helps address a privacy concern inherent to relying on a Google service" https://blog.cloudflare.com/moving-from-recaptcha-to-hcaptcha/
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22

25. Сообщение от Аноним (25), 27-Май-20, 10:09	+/–
> L7 ботнеты отфильтровывать без централизации и сопоставления данных также очень непросто Да вообще-то именно L7 обычно вывешивает достаточно аномалий чтобы отличить бота от человека. Иногда под раздачу конечно может попасть и человек - но собственно клаудспайварь с своей заколебавшей всех капчей за вот это самое как раз и известна больше всего.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

26. Сообщение от Аноним (26), 27-Май-20, 10:13	+/–
> потребителей услуги же ж. Адресатов DDoS чтоли? Ну в принципе я не против, пусть ответят за использование клаудспайвари :). Но мне кажется что даже канцелярские крысы могут заметить в этой схеме какой-то подвох. > Владельцы, как обычно, мынивинаваты, хателикаклучше. При том лучше - для своего кошелька, угу. > за спам, ни за разработку подобного софта - не только никого > и никогда не сажают, а еще и оплачивают разработки. Ну так за скромное вознаграждение такие фирмочки и сами продадут все данные. Ничего личного, это бизнес.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23

27. Сообщение от Аноним (27), 27-Май-20, 13:33	–1 +/–
Fastly опять предоставляют самый качественный продукт. Жалко у них маркетинг не такой эффективный как у Cloudflare. Fastly заслуживает больше внимания.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #29

28. Сообщение от Гентушник (ok), 27-Май-20, 16:47	+/–
> а вообще не отвечать на них. По мне это костыль, ведь это нарушение RFC. Не знаю конечно в каких сценариях браузеры используют этот заголовок кроме загрузки файлов и показа видео, но гарантировать что они этого не будут делать в будущем точно нельзя.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

29. Сообщение от Аноним (29), 28-Май-20, 08:41	+/–
Очень дорго и нет быстрого получения услуг без заполнения форм, фтопгу.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27