DoS-атака RangeAmp способна вывести из строя тысячи сайтов одновременно

DoS-атака RangeAmp способна вывести из строя тысячи сайтов одновременно

С помощью вредоносных запросов Range злоумышленник может усиливать трафик и атаковать сети доставки контента.

Команда китайских исследователей нашла новый способ усиления HTTP-трафика для выведения из строя web-сайтов и сетей доставки контента (CDN). Представленная ими DoS-атака под названием RangeAmp базируется на некорректной реализации HTTP-атрибута Range Requests.

Запросы Range являются частью стандарта HTTP и позволяют клиенту (как правило, браузеру) запрашивать у сервера только определенную часть (диапазон) файлов. Данная функция была создана для приостановки и возобновления трафика в контролируемых (пауза/возобновление действия) или неконтролируемых (перегрузка или отключение сети) ситуациях.

По словам китайских исследователей, с помощью вредоносных запросов Range злоумышленник может усиливать ответную реакцию серверов и CDN. У атаки RangeAmp есть два варианта. Первый, RangeAmp Small Byte Range (SBR), предполагает отправку вредоносного запроса Range провайдеру сети доставки контента. Это усиливает трафик к целевому серверу и в конечном итоге вызывает отказ в обслуживании атакуемого сайта.

Второй вариант атаки, RangeAmp Overlapping Byte Ranges (OBR), также предполагает отправку вредоносного запроса Range провайдеру сети доставки контента. Однако в данном случае трафик направляется через другие серверы CDN, усиливается внутри сетей доставки контента и вызывает сбой серверов CDN. В результате недоступной становится как сама CDN, так и многие другие сайты.

Из двух вариантов атаки сильнее усиливает трафик вариант SBR. В ходе исследования специалистам удалось усилить трафик в 724-43330 раз. Вариант OBR сложнее в осуществлении и позволяет усилить трафик в 7500 раз. Однако он также является более опасным, поскольку позволяет вывести из строя тысячи сайтов одновременно.

Исследователи протестировали RangeAmp в отношении 13 провайдеров сетей доставки контента и обнаружили, что все они уязвимы к данной атаке. Шесть из них также уязвимы к варианту OBR (при использовании в определенных комбинациях).

Специалисты в должном порядке уведомили провайдеров CDN об уязвимости, и 12 из 13 исправили ее. В список исправивших входят: Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, G-Core Labs, Huawei Cloud, KeyCDN и Tencent Cloud. От провайдера StackPath исследователи не смогли добиться никакого ответа.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!