大家好,我们是开源CDN团队,专注于CDN技术的开发和研究。

首先,为了对CDN进行攻击,我们必须清楚CDN的工作原理,这里我们再来简单介绍一下CDN的工作模型。

CDN的工作模型

CDN的全称是Content Delivery Network(内容分发网络),通过在网络各处的加速节点服务器来为网站抵挡恶意流量,把正常流量进行转发。用简单点的话来说,CDN一般有三个作用

1. 跨运营商加速:我们自己的网站常常只属于一个运营商(比如:电信),而加速节点遍布每家运营商,于是和网站不同运营商(比如:联通)的用户访问起来就不会那么慢了。

2. 缓存加速:很多的静态资源以及一部分页面更新都是比较慢的(比如首页),这个时候CDN就会根据浏览器的max-age和last-modified值以及管理员的预设值来进行缓存,于是很多流量CDN节点就不会每次都来向网站请求,CDN节点可以直接自作主张地将命中的缓存内容返回。

3. 恶意流量过滤:这是CDN非常重要的一个作用,也是很多网站会用CDN的原因,因为CDN能为我们抵挡攻击大流量攻击、普通的攻击(比如注入等),只有正常流量才会转发给网站。

这里还要说明几个名词:

源站:我们自己的那个网站就被称为是源站。

反向代理:CDN节点向源站请求数据的方式就叫反向代理,也就是上文所说的转发。

回源:CDN节点向源站请求数据的行为就叫做回源。

下面开始我们的探究之旅。

我们在做OpenCDN测试的时候,遇到了一些小问题。发现一个没有人访问的网站居然会有流量,并且有着惊人的访问次数。

发现一个没有人访问的网站居然会有流量,并且有着惊人的访问次数。

我们的OpenCDN有2分钟一次的反向代理检测,但是这次数加起来也就区区的720次,而这400万的访问次数是哪里冒出来的?然后我们查看了日志,发现单个域名的日志到达了58G之多,而将其打开之后发现X-Forwarded-For字段中(X-Forwarded-For机制是通过一层代理后记录一个IP,让源站在使用CDN后能够获得真实的访客IP而不是CDN节点IP)充斥着大量有的IP,而且都是本服务器IP。我们瞬间明白了什么,然后去管理端上验证了一下,果不其然地,我们一不小心把源站IP设成了CDN节点的IP,不过当时我们并没有发现。于是这么大的流量也好解释了,由于2分钟一次的检测触发CDN节点的回源,而这个站点的源站是CDN节点本身,于是CDN就开始不断自身反向代理死循环,这样一个请求就被无限地放大了。当超时或者HEADER太大(就是X-Forwarded-For字段导致HEADER溢出)的时候,请求会被丢弃。

把站点的源站IP设为CDN节点本身,能够让CDN节点进行自我的反向代理死循环,然后放大流量。

貌似有点意思,小伙伴们于是马上就行动起来了,进行了实验。

我们在安全宝上成功地将源站IP设置成了某个为我们加速的CDN节点IP,然后在美帝的一台小vps上开webbench用2000个线程去打这个这个站点(无论是哪个CDN节点收到请求,请求最终都会汇聚到那个无辜的被设源站的CDN节点),不过实验结果并不理想,节点没有宕机,通过IP反查找到一台和我们公用一个CDN节点的网站,通过这个CDN节点反向代理访问那个网站,出现了卡顿和打不开情况,仅此而已。由于没法采集到安全宝的这个节点的性能数据,我们也没法对我们的攻击做出评估。而且我们这个实验缺少了一个对照组,到底是因为死循环把流量放大导致CDN节点卡顿,还是这个2000线程本身就能把CDN节点打卡。

于是我们总结了一下,猜想这种节点反向代理自身的攻击手法可能可以适用于这样的场景

你想要攻击某个CDN节点,但是如果打404页面消耗不了太多,而如果打CDN中的某个站点,因为流量会穿透过去,可能还没有把CDN节点打掉,背后的站点早被穿透死了。这个时候,如果让节点进行自身反向代理死循环,他就会把所有的流量给吃进去,并且没法吐出来,这个时候可以产生一定量的流量杠杆效应,可以使得CDN节点出现异常。

不过话说回来,这种攻击的防御方式也异常简单,只要在设置源站IP的时候,不让设置CDN节点IP就行了,只要在网站前端交互输入的时候加点验证就行了。

我们考虑到我们没法对不是我们的CDN节点的带宽上限,性能上限有个很好的评估,黑盒式的摸索可能带来不了什么,于是我们拿我们自己的CDN节点开刀。

同时我们继续对这个思路进行探索。我们发现,既然一个节点能死循环,那两个节点怎么样?结果是肯定的,并且产生了质的变化。我们假设了这样的一个场景

我们的opencdn.cc在甲CDN服务商注册服务,并且在乙CDN服务商注册服务,然后我们得到甲CDN服务商的一个CDN加速节点1.1.1.1,然后又得到乙CDN服务商的一个CDN加速节点2.2.2.2。 然后聪明的你一定已经猜到了。我们把在甲CDN服务商设置源站为乙的加速节点2.2.2.2,在乙CDN服务商设置源站为甲的加速节点1.1.1.1,然后甲会问乙去索取源站,乙又来问甲索取源站,于是1.1.1.1和2.2.2.2就很开心地并且不停地交流了起来~

于是1.1.1.1和2.2.2.2就很开心地并且不停地交流了起来~

于是我们也进行了实验。这次我们采用POST包进行测试。

POST包

用POST包的原因有两个

1.CDN节点是会有缓存机制的,刚刚你请求的地址命中缓存,那么就直接返回,不会成为死循环了,而POST包则有一个很好的特性,绝对回源,一点也不含糊。

2.POST包可以扩大体积,在同等连接数的情况下让效应更加明显。

我们本次测试发送500个POST包,每个体积大概为10k左右。然后总共发送的流量为5M。

然后让我们来看下两个节点的反应

两个节点的反应

不过似乎到了带宽上限。因为我们手中的机器毕竟也不是很给力。

然后让我们来看下这500个POST包产生的效果

58.215.139.124

RX bytes:5473847154 (5.0 GiB) TX bytes:17106340685 (15.9 GiB)

RX bytes:6014294496 (5.6 GiB) TX bytes:17717990777 (16.5 GiB)

流入 540447342(515MB) 流出 611650092(583MB)

112.65.231.233

RX bytes:5583125549 (5.1 GiB) TX bytes:5022744608 (4.6 GiB)

RX bytes:6133578284 (5.7 GiB) TX bytes:5649798353 (5.2 GiB)

流入 550452735(524MB) 流出 627053745(598MB)

我们拿最小的进行测算吧,大概把流量扩大了100倍左右,然后如果把流入流出加起来就是扩大了200倍左右。

这一种攻击方式和前一种相比有两个优点

1.CDN服务商不能把源站IP做限制来防御,因为他无法知道别家的CDN节点IP。

2.能借刀杀人,可以用一家CDN服务商的CDN节点来打另外一家CDN服务商。

然后我们还进行了一些联想,一个站点可以把两个节点陷入死循环,如果把更多的节点来进来呢?

我们可以这样。让多个CDN节点和一个CDN节点死循环,把中间的CDN节点带宽耗尽。

让多个CDN节点和一个CDN节点死循环,把中间的CDN节点带宽耗尽。

我们还可以这样。让三个CDN节点死循环,如果有做流量上的流入流出探测限制,这样能保证流入流出不为一个IP。

让三个CDN节点死循环,如果有做流量上的流入流出探测限制,这样能保证流入流出不为一个IP。

毕竟在CDN服务商添加一个域名的代价是很小的(免费),我们可以用一个一个域名将节点串起来,然后啪一下开始流量死循环震荡。

好了,让我们用四个字总结一下这次的漏洞的特点:借力打力。

那么如何来防御这种以及可能演化出来的攻击呢?

1. 禁止把源站IP设为CDN节点本身(这是必须的)。

2. 限制每个站点的带宽。

3. 对请求超时的源站做一定限制。

4. 通过X-Forwarded-For来进行限制,超过多少层自动丢弃。

以及CDN节点已经存在的一系列的软硬防都可以让一部分的攻击流量无法成型,自然也无法形成死循环震荡。

本文仅为一种CDN流量放大攻击的思路,只是做过一些小规模的实验,也欢迎大牛们进行验证。如有不足之处或者逻辑上的错误还请提出,谢谢您的阅读。

by OpenCDN成员 囧思八千 Twwy.net

[原文地址]

各种吐槽:

水泥中的笨鱼

果真很有创意,如果联合几家CDN感觉真能把整个网络搞摊啊,就是只能用免费的来做,付费的,不论是请求,流量,那也是杀敌一千自损八百啊,钱搜搜的就下去了。

11小时前

1#

园长 (你在身边就是缘,缘分写在数据库里面。) | 2013-10-16 19:27

http://drops.wooyun.org/papers/679 drops已经发了

2#

Mujj (信头像,得永生。) | 2013-10-16 19:31

@园长 是不是很淫荡。

3#

回复此人感谢

momo (Do-re-mi-fa-so-la-ti-do) | 2013-10-16 19:43

的确很强大。

4#

三十度 | 2013-10-16 20:16

是免费的么

5#

蟋蟀哥哥 (popok是孙子!![just for fun]) | 2013-10-16 20:16

淫荡。。想过。。但是没想到有人给进行下去了

6#

园长 (你在身边就是缘,缘分写在数据库里面。) | 2013-10-16 20:21

@Mujj 我已经邀约了小伙伴:z7y、VIP半夜去打你服务器了,哇咔咔。

7#

Mujj (信头像,得永生。) | 2013-10-16 20:22

@园长 我已经邀约了小伙伴去测试加速乐去了。

8#

大师哥 | 2013-10-16 20:35

这个想法早就有过 一直没测试过。。 如果发现有人反向代理你的站 你在反向他的。。。 谁先死呢。。

9#

小胖子 (我从前有个很好的小伙伴,他叫VIP,后来他死了。) | 2013-10-16 20:39

@Mujj 小伙伴,这个思路真淫荡,死循环啊!

10#

sky (等级:史上无敌最佳新人白帽子白帽子) | 2013-10-16 20:50

已经约了小伙伴前排瓜子围观了

11#

无敌L.t.H (:?门安天京北爱我) | 2013-10-16 21:21

快把chinacache搞定,看雷布斯还卖粗粮。

12#

Mujj (信头像,得永生。) | 2013-10-16 21:27

@无敌L.t.H CC要出钱啊,不过他绝对能拖死加速乐、安全宝、网站宝这些渣渣。

13#

无敌L.t.H (:?门安天京北爱我) | 2013-10-16 21:27

@Mujj 那就上网宿,搞定12306。

14#

Finger (Save water. Shower with your girlfriend.) | 2013-10-16 21:53

@大师哥 应该不会死 可能最后会超时或header头too large退出。

相关内容:

站争(代号1937)第三节:决策!(上)

Zmap详细用户手册和DDOS的可行性

打造TB级流量DDoS大杀器,超级流量反射放大攻击系统

【逆向爆菊】某DDOS事件逆向追踪。。。有人深挖过吗?

云计算做数据包分析防御DDOS攻击

超级短信DDOS 女生一天收上万条10086短信 还有近50万条等着她

黑客可利用云开发平台进行DDOS攻击

基于云计算的DDOS攻击缓解方案

迅雷云你伤不起啊,利用迅雷云资源绑架用户,发起大型DDOS攻击

史上最大流量DDOS攻击者被捕

分析:DDos攻击被更有针对性地应用

一段黄色笑话引发的DDoS攻击

US-CERT:DNS服务器配置不当是上周300G DDoS的元凶

基地组织官网遭受海量ddos攻击

DDoS 攻击转移到 IPv6

Asp + 后台服务控制的 DDOS 木马,整套源码下载

绕过CDN的思路,绕过CDN查找真实IP的思路,一个新颖并另类的方法

浅谈Ddos攻击攻击与防御

【CSRF】基于图片方式(<img)的 DDOS、CC、会话劫持以及刺探用户信息

查找“CDN、负载均衡、反向代理”等大型网络真实IP地址的方法

电磁风暴超暴力 PHP DDOS 攻击工具 & PHP DDOS 攻击 - 编年史

美国热炒解放军网络战能力 国产神器!军工级暴力DDOS攻击系统!

男子转嫁黑客攻击致金盾网瘫痪 被DDOS请勿乱指域名到政府网

疯子的研究: 瘫痪整个互联网绝非天方夜谭

利用P2P网络发动大规模、大流量DDOS攻击

Linux 系统下 DDOS 工具 tfn2k 攻击原理详解

【批处理】批处理、Bat 也能进行 DDOS 攻击?

【Asp代码】用Asp来搞DDOS攻击

【Asp技巧】用Asp来DDOS

DRDoS 反弹DDoS攻击 反弹DDoS攻击 力度远大于分布式DDOS攻击