该问题与 Cloudflare 的共享基础设施有关,该基础设施接受所有用户的连接。有两个漏洞 - 一个与经过身份验证的源拉取请求相关,另一个与白名单相关。
Authenticated Origin Pulls 是一项功能,可确保发送到源服务器的请求通过 Cloudflare(而不是来自潜在攻击者)。 Cloudflare 的反向代理服务器使用 SSL 证书对源服务器(托管网站的服务器)进行身份验证。这可以实现 Cloudflare 和原始服务器之间的安全通信。
攻击者可以通过执行以下操作来利用这些漏洞:
攻击者在 Cloudflare 中设置自定义域,并将 DNS 中的 A 记录指向受害者的 IP 地址(源服务器)。内容交付的速度
内容分发网络 (CDN) 机制说明
CDN 主要是互连且位于不同位置的服务器网络。其目的是优化内容交付的速度,为互联网用户提供舒适的体验。 CDN 不会立即存储网站的所有信息。相反,它们主要依赖于缓存机制:它们将用户请求的部分内容存储一段时间。例如,如果来自罗马尼亚的用户请求托管在英国服务器上的内容,则服务器不仅会将此信息传输给用户,还会传输给波兰等地的 CDN 服务器。这样,下次访问内容时加载速度会更快一些,同时减少主服务器的负载。或者,来自源服务器的所有内容都可以缓存在 CDN 边缘服务器上,然后立即可用。
使用 CDN 的优点和好处
CDN 是一种强大的解决方案,不仅可以加快网站内容的交付速度,而且还可以用于各种场景。我们来看看这个。
提高网站加载速度
首先,由于信息以低延迟长距离传输,CDN 显着加快了网站加载速度。页面加载速度是愉快的用户体验的最重要组成部分之一,也对网站的 SEO 排名做出重大贡献。
应对增加的用户流量
CDN 的其他好处包括更好地处理高流量,因为负载不仅在主服务器上,而且分布在整个网络上,从而使您的网站性能不太可能受到过多流量的影响。
提高网站内容的可访问性
CDN 使您的内容更容易被更广泛的受众访问。由于新访 印度手机号码数据库
问的文件会缓存在 CDN 服务器上,因此其他用户可以更快地访问这些文件。
经济高效的托管解决方案
CDN 是一项不是很昂贵的服务,可为用户带来显着的好处。目前,它可以被认为是一种易于访问、经济实惠且高效的方式,可以让您的网站更快地吸引更多受众。
完善网站安全措施
CDN 可以通过多种方式提高网站的安全性,包括通过 CDN 的工作方式以及可以在其上安装的其他安全措施。这包括:
DDoS 防护
:CDN 是针对 DDoS 攻击的有效防护。由于您的网站由服务器网络而不是单个服务器支持,因此 DDoS 攻击使您的基础设施过载并导致源服务器无法运行的可能性要低得多。
Web 应用程序防火墙 (WAF)
:许多 CDN 提供 Web 应用程序防火墙 (WAF) 服务作为其安全产品的一部分。 WAF 负责在恶意流量到达源服务器之前将其过滤掉。此外,它还可以检测和防止常见的 Web 应用程序攻击,例如 SQL 注入、跨站脚本 (XSS) 和其他漏洞。所有这些都为您的网站增加了一层额外的保护。
SSL/TLS 加密
:CDN 服务器可以通过提供 SSL/TLS 终止来参与加密过程,这意味着加密发生在用户和源服务器之间,因此被外包。
机器人防护
:CDN还可以独立识别和阻止用于各种目的的恶意机器人。
IP白名单/黑名单
:CDN 通常允许您指定要阻止的 IP 地址,以保护您的内容免受不必要的访问。
确定不适合CDN部署的场景
虽然CDN可以解决各种使用场景,但它并不能解决所有问题。因此,值得探索哪些类型的内容不一定与 CDN 上的缓存相关。
不可变的静态内容
不可变的静态内容是指不打算随着时间的推移进行编辑或以其他方式更改的内容。这包括图像、视频、样式表、JavaScript 文件、字体和其他静态内容。在大多数情况下,不可变内容非常适合 CDN 采用,甚至是 CDN 最重要的内容类型,因为其不可变性使得内容对于所有用户都是相同的,因此可以在不同位置独立缓存和存储。
然而,在某些情况下,CDN 并不完全适合不可变的静态内容。这可能尤其会影响一些高度敏感的数据,其完整性会影响您公司及其客户的安全。
内容的动态
动态内容又指实时创建和更改的内容。它们可以包括具有用户特定信息的网页、个性化仪表板、具有动态产品目录的电子商务网站以及交互式 Web 应用程序。对于动态内容,缓存提出了一定的挑战,因为缓存的内容也需要定期更新。然而,现代 CDN 已经发展到通过采用各种技术(例如边缘包含 (ESI) 和动态片段缓存)在某种程度上处理动态内容。
这意味着在某些情况下,CDN 缓存被证明不适合动态内容。
高度个性化的实时数据
如果相关动态内容中包含需要立即更新的高度个性化的实时数据(例如实时通知、实时聊天消息),则该数据可能不适合缓存。
安全和访问控制
某些动态内容可能有严格的访问控制要求或包含敏感信息。在这些情况下,直接从主服务器编辑内容可能比依赖 CDN 更好。
动态交易:
包含动态交易的内容,例如由于可能存在数据一致性问题,某些活动(例如触发服务器端操作的支付处理或用户交互)可能不适合 CDN 缓存。
然后,攻击者在其 Cloudflare 中禁用此自定义域的所有保护。
他们现在可以使用共享证书对 Cloudflare 的基础设施进行攻击,从而绕过受害者安装的保护机制。
Proksch 表示,安全问题只能通过使用自定义证书来解决。但是,使用自定义证书需要客户创建和维护自己的源拉取证书,这可能不如使用 Cloudflare 证书方便。
