Kinesiska it-säkerhetsforskare har upptäckt en ny typ av attack som utnyttjar http-protokollets attribut Range Request. Felaktiga paket med HTTP Range Request kan orsaka två olika typer av ddos-attacker mot antingen webbservrar eller cdn-nätverk.

HTTP Range Request är en del av http-standarden och låter klienter, läs webbläsare, fråga efter en specifik del (range) av en fil från en webbserver. Egenskapen skapades dels för att kunna pausa/återuppta kontrollerade flöden (typisk videoströmmar), dels för att klara att återuppta flöden som avbryts av okontrollerade orsaker, till exempel överbelastade nätverk eller avbrott, skriver ZDNet.

Populär funktion

Range Request är omdebatterat om det är bra, men samtidigt är funktionen populär och har implementerats av de flesta webbläsare, servrar och cdn-nätverk. De kinesiska forskarna har nu hittat två sätt som Range Request kan utnyttjas för att störa ut webbsajter respektive cdn-nätverk.

Den första metoden kallar forskarna för RangeAmp Small Byte Range. I detta fall skickas en felformaterad Range Request till ett cdn-nätverk som förstärker trafiken mot målservern som till slut kan bli överbelastad. Den andra typen av attack kallas RangeAmp Overlapping Byte Ranges och innebär att angriparen åter skickar en felformaterad Range Request till ett cdn-nätverk, men i detta fall förstärks attacken inom cdn-nätverket och påverkar cdn-systemet och dess kunder.

Enkla att utföra

Forskarna har testat om cdn-nätverken påverkas av attackerna, och i samtliga 13 fall påverkades nätverken. Forskarna säger också att attackerna är enkla att utföra och att paketförstärkningen rör sig i området mellan 1:724 och 1:43330. Av de 13 cdn-nätverken har 12 reagerat positivt och har satt in motmedel eller ska göra så inom kort. Dessa tolv cdn-nätverk är Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, G-Core Labs, Huawei Cloud, KeyCDN och Tencent Cloud.

De kinesiska forskarnas rapport finns som pdf här.

Läs också:
Ny typ av attack förgiftar webbsidor genom Cloudflare och Akamai
Ryska Rostelecom kapade ”halva internet” – Misstag eller avsiktlig BGP-hijack?