Для DoS-атаки нового типа достаточно одного компьютера

image

Теги: DoS-атака, уязвимость, Apache

В отличие от обычных DoS-атак, которые позволяли подвесить любой веб-сайт путем бомбардировки сервера пакетами данных и возникающих как следствие перегрузки каналов связи, Slowloris позволяет добиться тех же результатов путем отправки относительно небольшого количества пакетов.

Эксперт в области информационной безопасности Роберт Хансен сконструировал инструмент, пригодный для проведения DoS-атак нового поколения. Инструмент Slowloris  использует обнаруженную уязвимость в архитектуре серверов Apache и других популярных веб-серверов.

В отличие от обычных DoS-атак, которые позволяли "повесить" любой сайт путем бомбардировки сервера пакетами данных и возникающих как следствие перегрузки каналов связи, Slowloris позволяет добиться тех же результатов путем отправки относительно небольшого количества пакетов.

Для организации стандартных DoS-атак требуется большое количество вычислительных ресурсов. Зачастую для блокирования единственного сайта задействуются тысячи компьютеров, скомпрометированных злоумышленниками. Технология Slowloris обладает минимальными требованиями к ресурсам. Роберт Хансен утверждает, что для начала атаки потребуется всего тысяча пакетов. Впоследствии для поддержания сайта в нерабочем состоянии достаточно будет отправлять от 200 до 300 пакетов в минуту. С этой задачей с легкостью справится стандартный персональный компьютер.

Атака Slowloris заставляет атакуемый сервер обслуживать большое количество открытых соединений путем непрерывной отправки незавершенных HTTP-запросов. В случае, если такие запросы отправляются с нужной периодичностью, сервер Apache надолго «погружается в раздумья», ожидая завершения каждого из открытых соединений. При этом сервер не перегружен – процессор может оставаться относительно свободным, просто он не обслуживает следующие подключения и запросы.

Дело в том, что веб-серверы, подобные Apache, предусматривают ограничение на число одновременно открытых подключений. Хансен утверждает, что разработанная им методика может с успехом использоваться для блокирования серверов Apache 1.x, Apache 2.x, dhttpd, GoAhead WebServer и Squid. При этом Slowloris не представляет особой опасности для серверов IIS6.0, IIS7.0 или lighttpd. Эти решения оснащены эффективными механизмами распределения нагрузки и используют «пулы рабочих потоков» (worker pool), позволяющие удерживать любое количество открытых соединений при наличии свободных ресурсов.

Хансен связался с разработчиками Apache и предупредил их об опасности.


или введите имя

CAPTCHA
Страницы: 1  2  3  
56465
22-06-2009 22:23:26
давно извесно, что виндовс решето и пользуются ей только прыщавые ананисты Балмера
0 |
Имя
22-06-2009 22:27:26
Нда... этот метод известен давным давно, и правится простым тюнингом. На парах хорошо студентам показывать... вот те на долго задумываются
0 |
sdv
22-06-2009 22:35:12
Какой тюнинг???? Люди, вы что? Есть мультиплексная, есть многопоточная архитектура. То, что этот липовый эксперт написал это обычное дело для многопоточной модели с ограничением на количество потоков. Это известное и миллионы раз описанное свойство этой архитектуры, в каждой доке по настройке апача. лайти и нжинкс - они просто мультиплексные. Ой блин, как все запущено....
0 |
Имя
22-06-2009 22:46:59
Под тюнингом подразумевалось и это в том числе. Можно тюнить по разному, не так ли?
0 |
sdv
22-06-2009 23:41:35
Для апача да А для остальных нет возможности сменить модель и никакой тюнинг там не поможет.
0 |
5-12
23-06-2009 13:57:06
Ёпта, а где ссылка на скачку программы?
0 |
20145
22-06-2009 23:00:43
Сдается мне это баян, и имя этому баяну SYN Flood, 3 секунды в гугле тут же выдали внутреннюю ссылку секлаба: http://www.securitylab.ru/informer/240619.php А вот сервер при достаточно небольшом потоке таких запросов будет постоянно держать свой буфер заполненным ненужными ожиданием соединений и даже SYN-запросы от настоящих легальных пользователей не будут помещаться в буфер
0 |
43051
22-06-2009 23:04:03
Все дружно обратили внимание на дату этой новости, по ссылке http://www.securitylab.ru/informer/240619.php - 01 сентября, 1996 Этот баян, озвученный "Роберт Хансен", походу самый баянистый баян из баянов.
0 |
Роберт Хансен
22-06-2009 23:09:41
Всё совсем не так. Например, сервёр ждёт завершения соединения 5 минут и допускает только 10 соединений. Значит, выдав ему за секунду 10 незакрытых соединений TCP, можно положить сервер на 5 минут. В этом смысл моего открытия
0 |
sdv
22-06-2009 23:45:02
Ничего общего. SYN-flood - это проблема на уровне TCP-стэка. Описанная проблема - это проблема прикладного уровня, а именно модели обработки запросов. когда на запрос отстреливается отдельный поток.
0 |
sdv
22-06-2009 22:30:13
А при чем здесь windows к дефолтовой модели prefork в апаче???? Стыдно мне за вас, батенька. Позорите линукс сильнее, чем сотни приверженцев ОС Windows вместе взятые. А ты не троль? Точно не троль? А-ну набери в консоле uname -a Кстати это вообще не уязвимость, это особенность архитектуры, в том-же апаче есть prefork и worker (который все доводят до ума). Хотя кому я это рассказываю...
0 |
25850
22-06-2009 22:58:30
prefork 256 клиентов с 300 секундами ожидания для запроса GET. Вот аффтар и поработал с этими числами и обнаружил "уязвимость".
0 |
sdv
22-06-2009 23:46:56
А виндовс при чем??? В линуксе те-же проблемы. Да в чем угодно на апаче будут те-же проблемы? С аффтаром все понятно, но посмотрите на самый первый пост , это к нему комментарий
0 |
Где тут написано, что проблема появляется из-за виндовс? И, кстати, При этом Slowloris не представляет особой опасности для серверов IIS6.0, IIS7.0Это так, к слову о внимательном чтении статьи и и правильному восприятию того что в ней написано
0 |
*********
23-06-2009 02:49:52
Решето это то что вместо мозгов у линуксоидов! Linux никому не нужен, чем меньше пользователей, тем более защищеннее он получается, так как нет резона писать вредоносный код под 1%... Я вообще "за", чтоб количество пользователей Linux-a было очень мало, может тогда хоть у вирусописателей не будут руки чесаться что-то под него писать... Так что, защищенность Linux-а прямо зависит от кол-ва пользователей Windows и Mac OS, поэтому, убедительная просьба - не уходите со своих любимых ОС!
0 |
sdv
22-06-2009 22:25:41
иоп аю ать! писец, свершение, револючия, прорыв! Эксперт! Сконструировал! "обнаруженную уязвимость в архитектуре серверов Apache"! Елы палы, они там что, вообще уже деградировали на..й? Скоро откроют электричество, изобретут компьютер и даже обнаружат принципиально новый тип уязвимостей - переполнение буфера. Епта, он скоро еще атаку на TCP откроет, большое количество открытых соединений.
0 |
22-06-2009 22:29:24
Ага, SYN-Flood откроют и запатентуют.
0 |
sdv
22-06-2009 22:31:15
И с разработчиков ядра линукса будут снимать бабки, т.к. в нем есть защита от него
0 |
Cobalt
22-06-2009 22:46:14
Ппц.. я так еще года два назад "ддосил" свой сервер с gprs канала незавершенными постзапросами. А "инструмент, пригодный для проведения ддос атак нового поколения" представлял собой perl скрипт в 30 строчек кода...
0 |
sdv
22-06-2009 23:48:03
Пиши кляузу в европейский суд, а мы тебя поддержим Атака нового поколения в каждом мануале по апачу.
0 |
 
22-06-2009 23:06:51
Вот собсно сама штука http://ha.ckers.org/slowloris/ и пример такого кода http://ha.ckers.org/slowloris/slowloris.pl
0 |
33173
23-06-2009 10:44:30
>It was also described in 2005 in the "Programming Model Attacks" section of Apache Security I LOL'd
0 |
22-06-2009 23:10:47
ААААААААААААААа Я откры суперDoS. Достаточно одного движения рукой - чик-чик. Инструмент - НожницЫ. Вырубает любой аппарат из сети намертво !!!!!!! побежали с капчей 459485 оформлять патент на двоих!
0 |
Страницы: 1  2  3