<div dir="ltr">The sites I was talking about don't just target the header order. That's just one of the things they check. Of course, they have their own system to protect themselves again ddos attacks or use services like akamai or cloudflare. The header order is just one of the common bot-detection techniques that they use to filter out unwanted traffic.<div><br></div><div>For example, akamai's bot detection system checks header order as well among a lot of other things.</div><div><br></div><div>Anyway, after Alex pointed me to the right direction, I managed to edit couple lines in squid to prevent the change in header order.</div><div><br></div><div>With regards,</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jun 27, 2017 at 8:02 PM, Eliezer Croitoru <span dir="ltr"><<a href="mailto:eliezer@ngtech.co.il" target="_blank">eliezer@ngtech.co.il</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">If I may add a word or two:<br>
If sites are securing their systems based on headers order then I believe they are aiming at the wrong target.<br>
It's a "nice to have" but not actual deep application level defense.(based on my low level in the subject)<br>
One example I have seen of a DOS\DDOS issue is:<br>
"Hey, We are having high CPU usage, what should we do?"<br>
- The bot was hammering the service from an AWS instance ... so block it..<br>
- How many requests per second from a single IP is considered normal?<br>
- Then, how many *new* cookies requests per second is considered normal?<br>
- What about NAT? would a Chinese client be considered legit despite to him being under one big NAT?<br>
- Would you be able to differentiate between a specific single ip or subnet that is considered legit?<br>
- What about RBL?<br>
<br>
The above are a things I heard here or there which I think are more important than headers order.<br>
Take my words as coming from a person which is not an expert in the security area.<br>
<br>
All The Bests,<br>
Eliezer<br>
<br>
----<br>
<a href="http://ngtech.co.il/lmgtfy/" rel="noreferrer" target="_blank">http://ngtech.co.il/lmgtfy/</a><br>
Linux System Administrator<br>
Mobile: +972-5-28704261<br>
Email: <a href="mailto:eliezer@ngtech.co.il">eliezer@ngtech.co.il</a><br>
<br>
<br>
From: squid-users [mailto:<a href="mailto:squid-users-bounces@lists.squid-cache.org">squid-users-bounces@<wbr>lists.squid-cache.org</a>] On Behalf Of Sonya Roy<br>
Sent: Thursday, June 22, 2017 21:54<br>
To: <a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.<wbr>org</a><br>
Subject: Re: [squid-users] Header order in squid proxy<br>
<span class="im HOEnZb"><br>
The sites I am talking about check the User-Agent header and makes sure the user-agent is for a well-known browser, i.e. a browser that they support. And any browser like Firefox, Chrome, Safari, Edge for example, sends the headers in a certain order and the order depends on the browser. And this header order for well-known headers like Accept, Accept-Language, Accept-Encoding, Content-Length, Host, Connection, Referer, Cookie, etc. And they match the order of the received request with the standard header order for the browser for that user-agent.<br>
<br>
This detects bots like a poorly written bot(i.e ones that don't consider this header order) using python requests or in any language for that matter where the requests are handled using a low level http requests library.<br>
<br>
So, keeping the header order sent from the client intact would prevent them from dropping proxied requests(ones that use squid). I know for a fact that they don't intend to block proxies.<br>
<br>
Could you point me in the direction to where I should look for in the source code of squid? the part that handles the header data sent from the client.<br>
<br>
With regards,<br>
Sonya Roy.<br>
<br>
</span><div class="HOEnZb"><div class="h5">On Fri, Jun 23, 2017 at 12:02 AM, Alex Rousskov <mailto:<a href="mailto:rousskov@measurement-factory.com">rousskov@measurement-<wbr>factory.com</a>> wrote:<br>
On 06/22/2017 11:49 AM, Sonya Roy wrote:<br>
<br>
> I noticed that squid changes the header order received from the client<br>
> before sending it to the origin server.<br>
><br>
> I assume this is because squid parses the header data and adds some<br>
> headers depending on the config file and then recreates the header data.<br>
<br>
IIRC, modern Squids change a header field position when the received<br>
field is deleted and then added back. This is typical for hop-by-hop<br>
headers such as Connection, but there are other reasons for Squid to<br>
delete and add a header field. When the value of the added field is the<br>
same as the value of the removed field, such pointless "editing" looks<br>
like mindless "reordering" to the outside observer.<br>
<br>
The two actions (field deletion and addition) may happen in a single<br>
piece of code or may be separated by lots of code and even time.<br>
Preventing pointless editing in the former cases is straightforward, but<br>
the latter cases are difficult to handle. Correct avoidance of pointless<br>
editing may improve performance and, if it does, can be considered a<br>
useful optimization on its own, regardless of your use case.<br>
<br>
<br>
> Is there any way to prevent this?<br>
<br>
Not without changing Squid code (or adding more proxies). However,<br>
before we even talk about code changes, we should clarify the problem we<br>
are dealing with. The questions below will guide you.<br>
<br>
It is probably much easier to ensure some fixed field send order<br>
(regardless of the received order) than to preserve the received order.<br>
Will a fixed order (e.g., always alphabetical) address your use case?<br>
This feature will hurt performance, but you might be able to convince<br>
others to accept it if you have a very compelling/specific/detailed use<br>
case because it can be disabled by default.<br>
<br>
<br>
> I am asking because some sites detect bots using the header order and<br>
> they drop any such connection. So they unintentionally block squid<br>
> proxies even if its not being used by a bot.<br>
<br>
Are you implying that bots often change header field order between their<br>
requests? Or that bots often use a different (fixed) header field order<br>
than the (fixed) field order used by non-bots? Preserving received order<br>
may help in the former case but not in the latter case.<br>
<br>
Also, do those blocking sites pay attention to all headers or just<br>
end-to-end headers?<br>
<br>
Please note that there are many other ways to detect a proxy so if a<br>
site wants to block proxies rather than bots, then it is probably<br>
pointless to fight it (or, at least, the Squid Project should not).<br>
<br>
<br>
HTH,<br>
<br>
Alex.<br>
<br>
<br>
</div></div></blockquote></div><br></div>