นักวิจัยเผยวิธี DoS Attack เซิร์ฟเวอร์ CDN ใหม่ ‘RangeAmp’

กลุ่มนักวิจัยจากสถาบันการศึกษาชาวจีนได้ตีพิมพ์งานวิจัยเกี่ยวกับเทคนิค DoS Attack ใหม่ที่ชื่อ ‘RangeAmp’ ซึ่งสามารถใช้โจมตีเซิร์ฟเวอร์ผู้ให้บริการ CDN ได้ โดยอาศัย Range Request Attribute ของ HTTP ทั้งนี้ยังส่งผลกระทบกับ CDN เจ้าดังหลายแห่งทั้ง Akamai, Cloudflare, Alibaba Cloud, Azure, Tencent Cloud และอื่นๆ

Http Range Request เป็นมาตรฐานของ HTTP ที่อนุญาตให้ไคลเอนต์สามารถร้องขอส่วนหนึ่งของไฟล์อย่างเฉพาะเจาะจง ซึ่งช่วยให้เกิดการหยุดหรือกลับมาได้เมื่อต้องเผชิญกับความไม่สเถียรของเครือข่าย ด้วยเหตุนี้จึงมีการ Implement รองรับโดยบราวน์เซอร์ เซิร์ฟเวอร์ และ CDN

ไอเดียของ RangeAmp คือทีมนักวิจัยสามารถประดิษฐ์ HTTP Range Request แบบพิเศษเพื่อโจมตี ทำให้เกิดการขยายการปฏิสัมพันธ์กันระหว่างการคุยกันของ CDN และเว็บเซิร์ฟเวอร์ โดยมี 2 วิธีการคือ 

  • RangeAmp Small Byte Range (SBR) attack – รูป A (ภาพด้านบน) คือผู้โจมตีสามารถส่ง HTTP Range Request แบบพิเศษ ไปยังผู้ให้บริการ CDN ซึ่งจะเกิดการขยายทราฟฟิคผ่านไปสู่เซิร์ฟเวอร์ปลายทาง
  • RangeAmp Overlapping Byte Ranges (OBR) attack – รูป B (ภาพด้านบน) คือผู้โจมตีสามารถส่ง HTTP Range Request แบบพิเศษ ไปยังผู้ให้บริการ CDN ในกรณีนี้จะเกิดการขยายทราฟฟิคภายในเครือข่ายของ CDN ทำให้เกิดการโจมตีได้ทั้งไซต์ปลายทางและตัว CDN

ผลการทดสอบของ SBR กระทบกับ CDN ดังๆ หลายเจ้าโดยมีอัตราการขยายขนาดของทราฟฟิคตั้งแต่ 724 – 43,330 เท่าเลยทีเดียว 

ในขณะผลการทดสอบของ OBR กระทบกับผู้ให้บริการ CDN น้อยกว่าเพราะมีเงื่อนไขมากกว่าแต่ก็มีอัตราการขยายสูงสุดที่ 7,500 เท่า

อย่างไรก็ตามปัจจุบันนักวิจัยชี้ว่าตนได้แจ้งเตือนกับผู้ให้บริการเหล่านั้นมาถึง 7 เดือนแล้ว ซึ่งเกือบทั้งหมดก็ตอบรับด้วยดี สำหรับผู้สนใจสามารถติดตามอ่านงานวิจัยได้ที่ “CDN Backfired: Amplification Attacks Based on HTTP Range Requests

ที่มา :  https://www.zdnet.com/article/rangeamp-attacks-can-take-down-websites-and-cdn-servers/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cyber Elite เปิดศูนย์ CSOC บริการเฝ้าระวังและรับมือภัยคุกคามไซเบอร์แบบครบวงจร

ในปัจจุบัน หลายองค์กรทั่วโลกต่างพลิกโฉมธุรกิจของตนสู่การเป็นธุรกิจดิจิทัลมากขึ้น สินค้าและบริการต่างถูกนำเสนอในรูปแบบออนไลน์ ผ่านอินเทอร์เน็ต และแอปพลิเคชันบนสมาร์ตโฟนเป็นจำนวนมาก เหล่านี้ก่อให้เกิดช่องทางที่อาชญากรไซเบอร์จะใช้โจมตีระบบขององค์กรได้มากขึ้น การรับมือกับภัยคุกคามไซเบอร์ในสมัยก่อนที่รอให้เกิดเหตุก่อนแล้วค่อยจัดการเป็นกรณีๆ ไป ไม่สามารถใช้ได้กับภัยคุกคามปัจจุบันที่มีความซับซ้อนและรุนแรง ซึ่งอาจทำให้ธุรกิจหยุดชะงักได้ทันทีหรือเสี่ยงถูกลูกค้าฟ้องร้องได้อีกต่อไป

[Guest Post] ฟอร์ติเน็ตเปิดตัวโซลูชัน Cloud native protection ปกป้องธุรกิจให้พ้นจากภัยคุกคามบนคลาวด์ พร้อมให้ใช้งานแล้วบน AWS

FortiCNP ช่วยลดความซับซ้อนในกระบวนการด้านความปลอดภัยบนคลาวด์ บริหารความเสี่ยงภัยได้เร็วขึ้น และให้การป้องกันภัยคุกคามได้เกือบเรียลไทม์ด้วยคุณสมบัติในการตรวจจับมัลแวร์ในระดับ Zero-Permission