利用HTTP指令进行攻击Cache篇.pdfVIP

利用HTTP 指令进行攻击 －Cache 篇 Coolc Email: eanalysis AT Homepage:/coolc 2006-6-7 前言 Coolc 早就有写此篇文章的打算，其实文中更多的为技巧而非技术，就内容上看，在真 正渗透攻击时造成的危害并非很大，但是这些内容体现了一种思路，就是从协议指令的思想 去进一步挖掘漏洞，进行可能的攻击，我想这才是这篇文章最有价值的地方吧。也希望拙作 能给同样是从事网络安全的朋友，带来一些灵感，也欢迎大家同我联系。 内容 技术背景 随着Web 技术越来越广泛的应用到我们的生活，Web 应用的架构的设计者和开发者不 得不面对这么一个问题，那就是Web 不断增长的访问量和负载，随之提升性能的相关技术 应运而生，如DNS 轮询、负载均衡、Cache 技术等等。如果有兴趣，大家不妨对大型网站 进行一下抓包，可以发现很多网站都采用了squid 反向代理，通过Squid 的Cache 提供高速 Web 响应。 攻击原理 Cache 机制不仅给服务器处理带来了很大程度的性能提升，一定程度上，也大大提升了 Web 服务提供商应对Get Flood 的能力。一般常见Cache 架构如下图： 从上面的架构可以看出，用户对网站的访问，大多被分布的Cache 服务器分担了，由于 Cache 服务器的数量以及Cache 的良好处理吞吐性能，即便发生了Get Flood 等攻击，此种 机制也可以很好的自身消化掉攻击负载，并且即便单一 Cache 主机瘫痪也不会对整体 Web 服务造成影响。如图： 通过架构分析，我们可以假设这样一种形势，如果攻击者可以穿过Cache ，直接将负载压力 传达到后台提供 HTTP 服务的服务器，将这台机器攻击瘫痪，那么前台的服务器也将因为 Cache 无法得到更新而服务受到影响，达到拒绝服务的效果。如下图所示： 那么是否有方法可以达到上述效果呢？答案是肯定的，那就是通过HTTP 指令来达到此种攻 击。 HTTP 协议 （v 1.1 和v 1.0）都提供了Cache 处理字段，其中字段Cache -Control （v 1.0 中为 Pragma ），当这个字段的值为no-cache 时，大多数cache 软件将不对请求作出响应，而直接 将请求传递到后台服务器，利用这个指令的机制，我们就可以实现我们所要达到的攻击效果。 效果验证 为了验证这种理论上的攻击形式，Coolc 架设了简单的应用环境进行验证。整个实验环境架 构如下： User(用户) Cache(Squid-2.5) Apache(2.55) 正常访问 而在正常情况下，Squid 会在内存Cache 中处理所有请求，可以发现大多数请求的压力根本 无法到达Apache ，而直接在Squid 消化。如下所示，500 个请求，只有一个到达了Apache ， 而这个访问，只是Squid 为了到Apache 拉取最初始的文件内容造成的。 root@coolc:~/squid -2.5.STABLE12#cat -access_log |wc -l 1 root@coolc:~/squid -2.5.STABLE12# cat squid_access.log |awk {print $4}|uniq -c 499 TCP_MEM_ HIT/200 指令绕过 当Squid 在处理访问时，如果发现特殊的标志位后，其将会直接将请求向后转发，同事 将在访问日志中记为一条TCP_CLIENT_REFRESH_MISS 。通过下面试验，我发送了500 个带特殊标志位的HTTP 请求，直接越过了Cache，而将压力直接加载到后台，下面的结果 我们验证了效果 用Pragma: no-cache 绕过 root@coolc:~/squid -2.5.STABLE12#cat -access_log |wc -l 500 root@coolc:~/squid -2.5.STABLE12# cat squid_access.log |aw