dimitris2006 Δημοσ. 7 Ιανουαρίου 2012 Δημοσ. 7 Ιανουαρίου 2012 Ο ερευνητής Sergey Shekyan ανακοίνωσε την ανακάλυψη ενός νέου εργαλείου για DoS (Denial of Service) επιθέσεις σε υπολογιστές, χωρίς να χρειάζεται μεγάλος αριθμός μηχανημάτων για την υλοποίησή τους έχοντας επίσης μικρές πιθανότητες ανίχνευσης του επιτιθέμενου. Οι συνηθισμένες επιθέσεις DoS χρησιμοποιούν μεγάλο αριθμό υπολογιστών οι οποίοι στέλνουν μαζικά αιτήματα έως ότου ο υπολογιστής που δέχεται την επίθεση να μην μπορεί να τα διαχειριστεί και να καταρρεύσει. Η μέθοδος του Shekyan ονομάζεται "Slow HTTP DoS" και χρησιμοποιεί μια “αργή” τεχνική με την οποία γίνεται η διαχείριση των αιτημάτων από τους server αμυνόμενους υπολογιστές. Για την ακρίβεια ο επιτιθέμενος υπολογιστής στέλνει ένα HTTP αίτημα στον server και διαβάζει την “απάντηση” του τελευταίου με πολύ μεγάλη καθυστέρηση, προκαλώντας του να χρησιμοποιεί συνεχώς ολοένα και περισσότερους υπολογιστικούς πόρους, μέχρι που φτάνει σε σημείο να καταρρεύσει. Για να γίνει αντιληπτός ο τρόπος της επίθεσης, φανταστείτε ένα κατάστημα fast food να σερβίρει δύο ειδών burger. Υπάρχει περίπτωση ο πελάτης να καθυστερεί να αποφασίσει ποιο από τα δύο να παραγγείλει ενώ ταυτόχρονα η ουρά των πελατών μεγαλώνει. Αυτό είναι ένα απλοποιημένο παράδειγμα των κλασσικών DoS επιθέσεων. Φανταστείτε τώρα να υπάρχει μια πινακίδα που να προειδοποιεί τους πελάτες να σκεφτούν την παραγγελία τους πριν έρθει η σειρά τους. Όμως, ένας πελάτης παραγγέλνει εκατοντάδες burgers, πληρώνει αλλά δεν μπορεί να τα παραλάβει όλα μαζί επειδή το αυτοκίνητό του χωράει μόνο 5 burger. Το αρνητικό είναι ότι οι προεπιλεγμένες ρυθμίσεις από τα περισσότερα συστήματα με Apache, nginx, και lighttpd είναι ευπαθή σε αυτή την νέου τύπου επίθεση. Παρ’ όλα αυτά υπάρχουν μερικά βήματα που μπορούν να ακολουθήσουν οι διαχειριστές τους για να μειώσουν την έκθεση των συστημάτων τους σε αυτή την επίθεση. Site: theverge.com Site: arstechnica.com
Haldol Δημοσ. 7 Ιανουαρίου 2012 Δημοσ. 7 Ιανουαρίου 2012 Δε μπορεί να αντιμετωπιστεί αυτό μειώνοντας τον απαιτούμενο χρόνο για time-out του εκάστοτε request;
dimitris2006 Δημοσ. 7 Ιανουαρίου 2012 Μέλος Δημοσ. 7 Ιανουαρίου 2012 χωρίς να βάζω το χέρι μου στη φωτιά, το time out αναφέρεται στον χρόνο που χρειάζεται για να απαντήσει ο άλλος και όχι το αν υπάρχει ήδη η απάντηση και διαβάζεται σε ρυθμούς χελώνας.
poulinos Δημοσ. 7 Ιανουαρίου 2012 Δημοσ. 7 Ιανουαρίου 2012 πραγματι αν ανταλαζονται εστω και ελαχιστα bytes μεταξυ των 2 απλα θα θεωρησει οτι ειναι αργο το connection οποτε δεν ξερω αν θα γινει μετα timeout.βεβαια σε μερικες περιπτωσεις ειχα δει σε downloads που πηγαιναν αργα να τρως timeout απο την αλλη πλευρα χωρις να εχει κολλησει το download.αλλα και παλι μεχρι να σου βγαλει το timeout ο server θα εχει φαει ολο το φορτο.
linkinpark4175 Δημοσ. 7 Ιανουαρίου 2012 Δημοσ. 7 Ιανουαρίου 2012 Απορο πως δεν το σκεφτηκε αλλος νωριτερα, πολυ απλη και αποτελεσματικη ιδεα.
poulinos Δημοσ. 7 Ιανουαρίου 2012 Δημοσ. 7 Ιανουαρίου 2012 για ολα υπαρχει μια αρχη.ενταξει και αυτο θα αντιμετωπιστει οσο γινεται βεβαια.αλλα μεχρι να γινει αυτο σιγουρα θα ρημαξουν πολλα πραγματα.
Moderators Gi0 Δημοσ. 7 Ιανουαρίου 2012 Moderators Δημοσ. 7 Ιανουαρίου 2012 Απορο πως δεν το σκεφτηκε αλλος νωριτερα, πολυ απλη και αποτελεσματικη ιδεα. Ισως και να το χει σκεφτει ηδη καποιος, του οποιου την ταυτοτητα δεν πρεπει να γνωριζουν και πολλα ατομα στον κοσμο. Αλλα ειναι καθαρα υποθεση δικια μου το συγκεκριμενο και τιποτα παραπανω. Το tool ονομαζεται "XerXeS", τα τεχνικα χαρακτηριστικα του δεν ειναι γνωστα και συμφωνα παντα με τα λεγομενα του δημιουργου του, με το συγκεκριμενο tool "ριχνει" κατα καιρους μπολικα site τα οποια αποτελουν πηγη προπαγανδας (πχ Westboro baptist church, Jihadist's sites κλπ). Τα site οντως "πεφτουν", ο τροπος ομως που πετυχαινει κατι τετοιο δεν ειναι γνωστος.
imitheos Δημοσ. 7 Ιανουαρίου 2012 Δημοσ. 7 Ιανουαρίου 2012 Δεν διάβασα ολόκληρα τα άρθρα, αλλά είδα ότι η arstechnica λέει "the attacker could use TCP's window size field, which controls the flow of data, to slow the transmission to a crawl." ΑΝ εννοεί αυτό που κατάλαβα, τότε είναι πολύ γνωστή μέθοδος. Ένα παράδειγμα μπορούμε να βρούμε και στην υποδομή τοίχου-προστασίας netfilter του linux. Adds a TARPIT target to iptables, which captures and holds incoming TCP connections using no local per-connection resources. Connections are accepted, but immediately switched to the persist state (0 byte window), in which the remote side stops sending data and asks to continue every 60-240 seconds. Attempts to close the connection are ignored, forcing the remote side to time out the connection in 12-24 minutes. Όπως εξηγεί η περιγραφή, με μηδενικό παράθυρο αναγκάζεται να παραμένει ανοιχτή η σύνδεση χωρίς να στέλνονται δεδομένα μέχρι να επέλθει το tcp timeout και να κλείσει η σύνδεση. Σε αυτή τη περίπτωση βέβαια χρησιμοποιείται όχι για DOS αλλά για να αποθαρρύνονται προσπάθειες spam scan αλλά η τεχνική είναι ίδια με αυτή που περιγράφει το άρθρο με τη διαφορά ότι αντί για μηδενικό παράθυρο έχεις πολύ μικρό για να στέλνει ο server δεδομένα με αργό ρυθμό.
_tasos Δημοσ. 7 Ιανουαρίου 2012 Δημοσ. 7 Ιανουαρίου 2012 Δηλαδή ο IIS δεν έχει πρόβλημα; Εδώ αναφέρει πως και ο IIS είναι επίσης ευάλωτος στην επίθεση.
Haldol Δημοσ. 7 Ιανουαρίου 2012 Δημοσ. 7 Ιανουαρίου 2012 Δηλαδή ο IIS δεν έχει πρόβλημα; Και να μην έχει πρόβλημα, έχει πάρα πολύ μικρό market share (το οποίο μειώνεται κι άλλο ενώ μιλάμε) ώστε να έχει σημασία.
digekas Δημοσ. 7 Ιανουαρίου 2012 Δημοσ. 7 Ιανουαρίου 2012 aghahowa, μορφή ο Tsoukalos... http://www.frozentux.net/ipsysctl-tutorial/chunkyhtml/ Έχει αναρωτηθεί κανείς γιατί πρέπει μία σύνδεση να παραμένει ανοικτή μέχρι και 2 ώρες;
21century Δημοσ. 8 Ιανουαρίου 2012 Δημοσ. 8 Ιανουαρίου 2012 Μα αλλα λογια παμε για πολλα μπαλωματα...
top-gear Δημοσ. 8 Ιανουαρίου 2012 Δημοσ. 8 Ιανουαρίου 2012 Και να μην έχει πρόβλημα, έχει πάρα πολύ μικρό market share (το οποίο μειώνεται κι άλλο ενώ μιλάμε) ώστε να έχει σημασία. 1 λέξη, Azure = πόροι on demand και ανάλογη υποστήριξη για fixes.
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα