Προς το περιεχόμενο

Προτεινόμενες αναρτήσεις

Δημοσ.

Ο ερευνητής Sergey Shekyan ανακοίνωσε την ανακάλυψη ενός νέου εργαλείου για DoS (Denial of Service) επιθέσεις σε υπολογιστές, χωρίς να χρειάζεται μεγάλος αριθμός μηχανημάτων για την υλοποίησή τους έχοντας επίσης μικρές πιθανότητες ανίχνευσης του επιτιθέμενου.

 

Οι συνηθισμένες επιθέσεις DoS χρησιμοποιούν μεγάλο αριθμό υπολογιστών οι οποίοι στέλνουν μαζικά αιτήματα έως ότου ο υπολογιστής που δέχεται την επίθεση να μην μπορεί να τα διαχειριστεί και να καταρρεύσει.

 

Η μέθοδος του Shekyan ονομάζεται "Slow HTTP DoS" και χρησιμοποιεί μια “αργή” τεχνική με την οποία γίνεται η διαχείριση των αιτημάτων από τους server αμυνόμενους υπολογιστές. Για την ακρίβεια ο επιτιθέμενος υπολογιστής στέλνει ένα HTTP αίτημα στον server και διαβάζει την “απάντηση” του τελευταίου με πολύ μεγάλη καθυστέρηση, προκαλώντας του να χρησιμοποιεί συνεχώς ολοένα και περισσότερους υπολογιστικούς πόρους, μέχρι που φτάνει σε σημείο να καταρρεύσει.

 

Για να γίνει αντιληπτός ο τρόπος της επίθεσης, φανταστείτε ένα κατάστημα fast food να σερβίρει δύο ειδών burger. Υπάρχει περίπτωση ο πελάτης να καθυστερεί να αποφασίσει ποιο από τα δύο να παραγγείλει ενώ ταυτόχρονα η ουρά των πελατών μεγαλώνει. Αυτό είναι ένα απλοποιημένο παράδειγμα των κλασσικών DoS επιθέσεων. Φανταστείτε τώρα να υπάρχει μια πινακίδα που να προειδοποιεί τους πελάτες να σκεφτούν την παραγγελία τους πριν έρθει η σειρά τους. Όμως, ένας πελάτης παραγγέλνει εκατοντάδες burgers, πληρώνει αλλά δεν μπορεί να τα παραλάβει όλα μαζί επειδή το αυτοκίνητό του χωράει μόνο 5 burger.

 

capturerbf.png

 

Το αρνητικό είναι ότι οι προεπιλεγμένες ρυθμίσεις από τα περισσότερα συστήματα με Apache, nginx, και lighttpd είναι ευπαθή σε αυτή την νέου τύπου επίθεση. Παρ’ όλα αυτά υπάρχουν μερικά βήματα που μπορούν να ακολουθήσουν οι διαχειριστές τους για να μειώσουν την έκθεση των συστημάτων τους σε αυτή την επίθεση.

 

Link.png Site: theverge.com

Link.png Site: arstechnica.com

Δημοσ.

Δε μπορεί να αντιμετωπιστεί αυτό μειώνοντας τον απαιτούμενο χρόνο για time-out του εκάστοτε request;

Δημοσ.

χωρίς να βάζω το χέρι μου στη φωτιά, το time out αναφέρεται στον χρόνο που χρειάζεται για να απαντήσει ο άλλος και όχι το αν υπάρχει ήδη η απάντηση και διαβάζεται σε ρυθμούς χελώνας.

Δημοσ.

πραγματι αν ανταλαζονται εστω και ελαχιστα bytes μεταξυ των 2 απλα θα θεωρησει οτι ειναι αργο το connection οποτε δεν ξερω αν θα γινει μετα timeout.βεβαια σε μερικες περιπτωσεις ειχα δει σε downloads που πηγαιναν αργα να τρως timeout απο την αλλη πλευρα χωρις να εχει κολλησει το download.αλλα και παλι μεχρι να σου βγαλει το timeout ο server θα εχει φαει ολο το φορτο.

 

 

Δημοσ.

για ολα υπαρχει μια αρχη.ενταξει και αυτο θα αντιμετωπιστει οσο γινεται βεβαια.αλλα μεχρι να γινει αυτο σιγουρα θα ρημαξουν πολλα πραγματα.

  • Moderators
Δημοσ.

Απορο πως δεν το σκεφτηκε αλλος νωριτερα, πολυ απλη και αποτελεσματικη ιδεα.

 

Ισως και να το χει σκεφτει ηδη καποιος, του οποιου την ταυτοτητα δεν πρεπει να γνωριζουν και πολλα ατομα στον κοσμο. Αλλα ειναι καθαρα υποθεση δικια μου το συγκεκριμενο και τιποτα παραπανω.

Το tool ονομαζεται "XerXeS", τα τεχνικα χαρακτηριστικα του δεν ειναι γνωστα και συμφωνα παντα με τα λεγομενα του δημιουργου του, με το συγκεκριμενο tool "ριχνει" κατα καιρους μπολικα site τα οποια αποτελουν πηγη προπαγανδας (πχ Westboro baptist church, Jihadist's sites κλπ). Τα site οντως "πεφτουν", ο τροπος ομως που πετυχαινει κατι τετοιο δεν ειναι γνωστος.

Δημοσ.

Δεν διάβασα ολόκληρα τα άρθρα, αλλά είδα ότι η arstechnica λέει "the attacker could use TCP's window size field, which controls the flow of data, to slow the transmission to a crawl."

 

ΑΝ εννοεί αυτό που κατάλαβα, τότε είναι πολύ γνωστή μέθοδος. Ένα παράδειγμα μπορούμε να βρούμε και στην υποδομή τοίχου-προστασίας netfilter του linux.

Adds a TARPIT target to iptables, which captures and holds incoming TCP

connections using no local per-connection resources. Connections are

accepted, but immediately switched to the persist state (0 byte window), in

which the remote side stops sending data and asks to continue every 60-240

seconds. Attempts to close the connection are ignored, forcing the remote

side to time out the connection in 12-24 minutes.

 

Όπως εξηγεί η περιγραφή, με μηδενικό παράθυρο αναγκάζεται να παραμένει ανοιχτή η σύνδεση χωρίς να στέλνονται δεδομένα μέχρι να επέλθει το tcp timeout και να κλείσει η σύνδεση. Σε αυτή τη περίπτωση βέβαια χρησιμοποιείται όχι για DOS αλλά για να αποθαρρύνονται προσπάθειες spam scan αλλά η τεχνική είναι ίδια με αυτή που περιγράφει το άρθρο με τη διαφορά ότι αντί για μηδενικό παράθυρο έχεις πολύ μικρό για να στέλνει ο server δεδομένα με αργό ρυθμό.

Δημοσ.

Δηλαδή ο IIS δεν έχει πρόβλημα;

 

Και να μην έχει πρόβλημα, έχει πάρα πολύ μικρό market share (το οποίο μειώνεται κι άλλο ενώ μιλάμε) ώστε να έχει σημασία.

Δημοσ.

Και να μην έχει πρόβλημα, έχει πάρα πολύ μικρό market share (το οποίο μειώνεται κι άλλο ενώ μιλάμε) ώστε να έχει σημασία.

 

1 λέξη, Azure = πόροι on demand και ανάλογη υποστήριξη για fixes.

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
  • Δημιουργία νέου...