本文深入探讨了CDN(内容分发网络)中的安全问题,尤其是DNSSEC如何不能完全防止重放攻击。研究发现,尽管CDN依赖于DNS动态映射系统,但这种系统易受操纵,且DNSSEC签名无法解决这个问题。实验揭示了重定向劫持攻击的潜在影响,包括服务中断和DoS攻击风险。提出了ECS等可能的对策,但同时也指出了其局限性。
End-Users Get Maneuvered: Empirical Analysis of Redirection Hijacking in Content Delivery Networks
Analysis of Redirection Hijacking in
Content Delivery Networks)
作者
- This paper is included in the Proceedings of the 27th USENIX Security Symposium.
August 15–17, 2018 • Baltimore, MD, USA - Shuai Hao
- Yubao Zhang
- Haining Wang
知识点
CDN
Content Ddistribute Network,即内容分发网络,尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。将用户的请求重新导向离用户最近的服务节点上。
最简单的CDN网络由一个DNS服务器和几台缓存服务器组成:
- 当用户点击网站页面上的内容URL,经过本地DNS系统解析,DNS系统会最终将域名的解析权交给CNAME指向的CDN专用DNS服务器。
- CDN的DNS服务器将CDN的全局负载均衡设备IP地址返回用户。
- 用户向CDN的全局负载均衡设备发起内容URL访问请求。
- CDN全局负载均衡设备根据用户IP地址,以及用户请求的内容URL,选择一台用户所属区域的区域负载均衡设备,告诉用户向这台设备发起请求。
- 区域负载均衡设备会为用户选择一台合适的缓存服务器提供服务,选择的依据包括:根据用户IP地址,判断哪一台服务器距用户最近;根据用户所请求的URL中携带的内容名称,判断哪一台服务器上有用户所需内容;查询各个服务器当前的负载情况,判断哪一台服务器尚有服务能力。基于以上这些条件的综合分析之后,区域负载均衡设备会向全局负载均衡设备返回一台缓存服务器的IP地址。
- 全局负载均衡设备把服务器的IP地址返回给用户。
- 用户向缓存服务器发起请求,缓存服务器响应用户请求,将用户所需内容传送到用户终端。如果这台缓存服务器上并没有用户想要的内容,而区域均衡设备依然将它分配给了用户,那么这台服务器就要向它的上一级缓存服务器请求内容,直至追溯到网站的源服务器将内容拉到本地。
DNSSEC
DNS欺骗
攻击者都可以假冒应答方(根、顶级域、权威域、或解析服务器)给请求方发送一个伪造的响应,其中包含一个错误的IP地址。发送请求的用户计算机或者解析服务器很傻、很天真地接受了伪造的应答,导致用户无法访问正常网站,甚至可以把重定向到一个伪造的网站上去。由于正常的DNS解析使用UDP协议而不是TCP协议,伪造DNS的响应报文比较容易;如果攻击者可以监听上述过程中的任何一个通信链路,这种攻击就易如反掌。
缓存污染
由于DNS缓存(Cache)的作用,这种错误的记录可以存在相当一段时间(比如几个小时甚至几天),所有使用该域名解析服务器的用户都无法访问真正的服务器。
DNSSEC权威域名服务器用自己的私有密钥对资源记录(Resource Record, RR)进行签名,解析服务器用权威服务器的公开密钥对收到的应答信息进行验证。如果验证失败,表明这一报文可能是假冒的,或者在传输过程、缓存过程中被篡改了。
动态域名解析
动态域名解析服务,简称DDNS(Dynamic Domain Name Server),是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络的时候,客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务程序负责提供DNS服务并实现动态域名解析。就是说DDNS捕获用户每次变化的IP地址,然后将其与域名相对应,这样域名就可以始终解析到非固定IP的服务器上,互联网用户通过本地的域名服务器获得网站域名的IP地址,从而可以访问网站的服务。
ECS
用户端IP地址的网络前缀包含在DNS查询的选项字段中,以使基于DNS的映射系统能够使用客户端位置的直接知识而不是其LDNS
允许DNS resolver传递用户的ip地址给authoritative DNS server
摘要
CDNs依赖于mapping system,该系统利用动态生成的DNS记录将客户端请求分发到近端服务器,但是mappiing system易受到恶意劫持:(1)它很难为动态记录生成DNSSEC签名(2)DNSSEC本身容易实现重放攻击。
本文研究了动态映射的安全性含义,这些影响在安全性和CDN社区中仍未得到充分研究。描述了CDN,并评估了基于DNS的CDN中的这一基本漏洞。证明DNSSEC无法解决这个问题,即使新采用的能够实现实时签名的ECDSA也是如此。讨论针对这种操纵的实际对策。
研究点的提出
映射系统将客户端请求指向适当的代理,映射系统使用客户端的本地递归DNS解析器(LDNS或rDNS)作为局域网的表示来确定每个客户端的位置。但是随着客户端和LDNSes接近及DNS公共服务的增长映射系统的准确率下降
结构
2 背景
3 威胁模型
4 描述CDN操作特镇以及风险总结
5 实际中的影响
6 相似工作
7 总结
新颖之处
- 动态映射安全性先前未被充分研究
贡献
- 阐述了CDNs中的重定向劫持攻击:攻击者利用合法的映射记录覆盖CDN服务器的选择,从而将用户重定向
- 描述请求路由实际操作特征:真实环境中测试
- 测量在实际中受到重放劫持的影响
- 对策的挑战和实际的思考
实验
模型的提出
攻击者可以简单地获取已使用或正在用于不同客户端网络的合法签名映射记录,并将其注入解析程序的缓存中。 由于注册记录由合法的权威名称服务器生成,但针对不同的客户端组,具有有效签名,因此解析器将在成功签名验证后接受它进行缓存。 一旦接受了注入的记录,客户端请求将被重定向到对手选择的非最佳边缘服务器,通常负载较重,地理位置远离客户端,甚至是无端边缘服务器,以中断客户端访问 由CDNs主持的服务。 此外,攻击者可以利用为许多客户端重播的相同记录来潜在地在目标边缘服务器上安装DoS攻击
实验方法:测量重放攻击的影响
(1)识别可被重放攻击的CDN平台:测试主流商业CDN 描述其配置和操作
在不同的亚马逊EC2区域设置虚拟机,用于检索每个CDN提供商中托管的客户网站的DNS解析结果。
(2)验证CDN内容分发模块:
- 查询每个CDN开发技术文档
- 验证研究发现
- 通过公共可用的被动DNS数据库[5,25]交叉检查从DNS解析中获取的域名和IP地址的信息
特征概述
(1)域名授权:to CDN`s platform:CNAME Redirection & NS Hosting
(2)代理选择:edge server:DNS-based & anycast-based
实验发现
(1)DNSSEC 不是个解决办法
假设:添加相应的签名来保护CNAME记录 & CDN能够生成按需DNSSEC签名以有效地签署动态映射记录
(2)正常DNS记录中的TTL长度对DNS中毒的可能性有显着影响,因为短TTL会迫使递归解析器更频繁地执行DNS查找,这会给对手带来更多机会
(3)性能影响:RTT、TTFB、content download speed
评估方式:
通过分布式Amazon区域的探测器获得的DNS记录,采用缓存穿透攻击,其中curl实用程序用于通过替换绕过CDN的服务器分配 HTTP请求中具有(远程)非最佳IP地址的普通主机头。
eg. 要从位于亚洲的边缘服务器获取内容对象作为美国东海岸的最终用户的代表,我们在us-east-1的亚马逊地区的主机上发出以下请求:
curl -H Host:i.dell.com -O http://104.78.87.26/sites/imagecontent/products/...inspiro-15-7000-gaming-pdp-polaris-01.jpg
(4)影响范围
(5)内容分离技术
(6)对CDN缓存的影响
更多的威胁
攻击者可以通过将来自大量客户端的请求定向到受害者边缘服务器的单个IP地址来利用重定向劫持来发起(或部分)DoS攻击。 WAF无法丢弃来自真实客户的合法流量。通过有选择地注入与不同流行内容相关联的DNS记录,更多客户端连接到受害者边缘服务器,然后服务器必须维护更多后端连接到不同的源服务器以获取内容。此外,由于大量内容的大量流量,缓存的内容很快被替换。受害者边缘服务器迟早会变得过载并且无法响应客户端请求。更重要的是,由于客户端绕过映射系统,负载平衡无法正确分配流量。随后,重定向到过载边缘服务器的所有客户端将无法再访问CDN托管的内容或服务;
此外,攻击者可以利用系统故障或中断来显着放大攻击。
对策
ECS:签名的ECS可以保证IP地址被分配给指定的用户组(ECS数据),因为对象无法使用任意客户端子网制作有效记录。
DNSSEC:
CNAME:
Request Re-Mapping:
Encryption and DNS-over-TLS
哇这个论文我没有好好读啊~
DNSSEC meet CDN :存在风险!重放攻击、CNAME替换
扫一扫
1375
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
