RangeAmp 공격으로 인한 웹사이트 및 CDN 영향

 

중국 칭화대 연구팀이 RangeAMP 공격을 통한 웹사이트 오리진 및 CDN Traffic을 증가시킬 수 있다고 발표하였습니다.

 

RangeAmp를 통한 공격은 아래 두가지 방식으로 이루어질 수 있습니다.

 

1. RangeAMP SBR(Small Byte Range)

CDN서비스 업체가 Range request를 하기 위해 Deletion 혹은 Expansion 정책을 사용한 경우 잘못된 Range(작은 단위)를 요청시켜 cdn-origin 트래픽을 증가시킵니다.

 

공격자가 작은 단위의 Range 요청을 보내어 cache miss를 만들어내면 CDN업체는 Deletion 혹은 Expansion 정책을 사용하여 Range 헤더를 삭제 혹은 Byte를 늘려서 오리진으로 요청하게 됩니다.

ex) Range: bytes=0-0

 

따라서, Deletion 정책의 경우에  cdn-origin 연결은 컨텐츠의 전체 리소스를 요청하기 때문에 더 큰 트래픽이 발생될 수 있습니다.

Expansion 정책의 경우에도 확장시켜서 연결을 하여 더 큰 트래픽이 발생될 수 있습니다.

 

결론 : cdn-origin 사이 트래픽 큰 증폭현상이 발생

 

 

2. RangeAMP OBR(Overlapping Byte Range)

 

공격자는  HTTP range 요청을 multiple overlapping byte ranges 형태로 보내어 내부 CDN서버에 영향을 주어 RangeAMP 공격을 할 수 있습니다.

 

attcker > FCDN > BCDN > origin

 

결론 : bcdn-fcdn에 트래픽 큰 증폭현상이 발생

 

 

 

 

연구팀은 2가지 방식의 RangeAmp 공격을 13곳의 CDN서비스 업체에 테스트를 진행하였고 대부분의 업체에서는 SBR공격에 취약점을 나타내었고 몇몇 곳은 OBR 공격에 대해서도 취약점을 나타냈습니다.

 

자세한 내용은 아래 기사 혹은 논문 참고하시면 될 것 같습니다.

 

Reference : www.zdnet.com/article/rangeamp-attacks-can-take-down-websites-and-cdn-servers/

RangeAmp attacks can take down websites and CDN servers | ZDNet

Reference : www.liubaojun.org/uploads/1/1/8/3/118316462/dsn_2020.pdf