Ανακάλυψη νέου είδους DoS επίθεσης χωρίς την ανάγκη υλοποίησης από πολλούς Η/Υ

[dimitris2006]

Ο ερευνητής Sergey Shekyan ανακοίνωσε την ανακάλυψη ενός νέου εργαλείου για DoS (Denial of Service) επιθέσεις σε υπολογιστές, χωρίς να χρειάζεται μεγάλος αριθμός μηχανημάτων για την υλοποίησή τους έχοντας επίσης μικρές πιθανότητες ανίχνευσης του επιτιθέμενου.

 

Οι συνηθισμένες επιθέσεις DoS χρησιμοποιούν μεγάλο αριθμό υπολογιστών οι οποίοι στέλνουν μαζικά αιτήματα έως ότου ο υπολογιστής που δέχεται την επίθεση να μην μπορεί να τα διαχειριστεί και να καταρρεύσει.

 

Η μέθοδος του Shekyan ονομάζεται "Slow HTTP DoS" και χρησιμοποιεί μια “αργή” τεχνική με την οποία γίνεται η διαχείριση των αιτημάτων από τους server αμυνόμενους υπολογιστές. Για την ακρίβεια ο επιτιθέμενος υπολογιστής στέλνει ένα HTTP αίτημα στον server και διαβάζει την “απάντηση” του τελευταίου με πολύ μεγάλη καθυστέρηση, προκαλώντας του να χρησιμοποιεί συνεχώς ολοένα και περισσότερους υπολογιστικούς πόρους, μέχρι που φτάνει σε σημείο να καταρρεύσει.

 

Για να γίνει αντιληπτός ο τρόπος της επίθεσης, φανταστείτε ένα κατάστημα fast food να σερβίρει δύο ειδών burger. Υπάρχει περίπτωση ο πελάτης να καθυστερεί να αποφασίσει ποιο από τα δύο να παραγγείλει ενώ ταυτόχρονα η ουρά των πελατών μεγαλώνει. Αυτό είναι ένα απλοποιημένο παράδειγμα των κλασσικών DoS επιθέσεων. Φανταστείτε τώρα να υπάρχει μια πινακίδα που να προειδοποιεί τους πελάτες να σκεφτούν την παραγγελία τους πριν έρθει η σειρά τους. Όμως, ένας πελάτης παραγγέλνει εκατοντάδες burgers, πληρώνει αλλά δεν μπορεί να τα παραλάβει όλα μαζί επειδή το αυτοκίνητό του χωράει μόνο 5 burger.

 

 

Το αρνητικό είναι ότι οι προεπιλεγμένες ρυθμίσεις από τα περισσότερα συστήματα με Apache, nginx, και lighttpd είναι ευπαθή σε αυτή την νέου τύπου επίθεση. Παρ’ όλα αυτά υπάρχουν μερικά βήματα που μπορούν να ακολουθήσουν οι διαχειριστές τους για να μειώσουν την έκθεση των συστημάτων τους σε αυτή την επίθεση.

 

Site: theverge.com

Site: arstechnica.com

[Haldol]

Δε μπορεί να αντιμετωπιστεί αυτό μειώνοντας τον απαιτούμενο χρόνο για time-out του εκάστοτε request;

[dimitris2006]

χωρίς να βάζω το χέρι μου στη φωτιά, το time out αναφέρεται στον χρόνο που χρειάζεται για να απαντήσει ο άλλος και όχι το αν υπάρχει ήδη η απάντηση και διαβάζεται σε ρυθμούς χελώνας.

[poulinos]

πραγματι αν ανταλαζονται εστω και ελαχιστα bytes μεταξυ των 2 απλα θα θεωρησει οτι ειναι αργο το connection οποτε δεν ξερω αν θα γινει μετα timeout.βεβαια σε μερικες περιπτωσεις ειχα δει σε downloads που πηγαιναν αργα να τρως timeout απο την αλλη πλευρα χωρις να εχει κολλησει το download.αλλα και παλι μεχρι να σου βγαλει το timeout ο server θα εχει φαει ολο το φορτο.

 

 

[linkinpark4175]

Απορο πως δεν το σκεφτηκε αλλος νωριτερα, πολυ απλη και αποτελεσματικη ιδεα.

[poulinos]

για ολα υπαρχει μια αρχη.ενταξει και αυτο θα αντιμετωπιστει οσο γινεται βεβαια.αλλα μεχρι να γινει αυτο σιγουρα θα ρημαξουν πολλα πραγματα.

[Gi0]

Απορο πως δεν το σκεφτηκε αλλος νωριτερα, πολυ απλη και αποτελεσματικη ιδεα.

 

Ισως και να το χει σκεφτει ηδη καποιος, του οποιου την ταυτοτητα δεν πρεπει να γνωριζουν και πολλα ατομα στον κοσμο. Αλλα ειναι καθαρα υποθεση δικια μου το συγκεκριμενο και τιποτα παραπανω.

Το tool ονομαζεται "XerXeS", τα τεχνικα χαρακτηριστικα του δεν ειναι γνωστα και συμφωνα παντα με τα λεγομενα του δημιουργου του, με το συγκεκριμενο tool "ριχνει" κατα καιρους μπολικα site τα οποια αποτελουν πηγη προπαγανδας (πχ Westboro baptist church, Jihadist's sites κλπ). Τα site οντως "πεφτουν", ο τροπος ομως που πετυχαινει κατι τετοιο δεν ειναι γνωστος.

[imitheos]

Δεν διάβασα ολόκληρα τα άρθρα, αλλά είδα ότι η arstechnica λέει "the attacker could use TCP's window size field, which controls the flow of data, to slow the transmission to a crawl."

 

ΑΝ εννοεί αυτό που κατάλαβα, τότε είναι πολύ γνωστή μέθοδος. Ένα παράδειγμα μπορούμε να βρούμε και στην υποδομή τοίχου-προστασίας netfilter του linux.

Adds a TARPIT target to iptables, which captures and holds incoming TCP

connections using no local per-connection resources. Connections are

accepted, but immediately switched to the persist state (0 byte window), in

which the remote side stops sending data and asks to continue every 60-240

seconds. Attempts to close the connection are ignored, forcing the remote

side to time out the connection in 12-24 minutes.

 

Όπως εξηγεί η περιγραφή, με μηδενικό παράθυρο αναγκάζεται να παραμένει ανοιχτή η σύνδεση χωρίς να στέλνονται δεδομένα μέχρι να επέλθει το tcp timeout και να κλείσει η σύνδεση. Σε αυτή τη περίπτωση βέβαια χρησιμοποιείται όχι για DOS αλλά για να αποθαρρύνονται προσπάθειες spam scan αλλά η τεχνική είναι ίδια με αυτή που περιγράφει το άρθρο με τη διαφορά ότι αντί για μηδενικό παράθυρο έχεις πολύ μικρό για να στέλνει ο server δεδομένα με αργό ρυθμό.

[mojiro]

Δηλαδή ο IIS δεν έχει πρόβλημα;

[_tasos]

Δηλαδή ο IIS δεν έχει πρόβλημα;

 

Εδώ αναφέρει πως και ο IIS είναι επίσης ευάλωτος στην επίθεση.

[Haldol]

Δηλαδή ο IIS δεν έχει πρόβλημα;

 

Και να μην έχει πρόβλημα, έχει πάρα πολύ μικρό market share (το οποίο μειώνεται κι άλλο ενώ μιλάμε) ώστε να έχει σημασία.

[aghahowa]

Δεν υλοποιείται από υπολογιστές;

[digekas]

aghahowa, μορφή ο Tsoukalos...

 

http://www.frozentux.net/ipsysctl-tutorial/chunkyhtml/

 

Έχει αναρωτηθεί κανείς γιατί πρέπει μία σύνδεση να παραμένει ανοικτή μέχρι και 2 ώρες;

[21century]

Μα αλλα λογια παμε για πολλα μπαλωματα...

[top-gear]

Και να μην έχει πρόβλημα, έχει πάρα πολύ μικρό market share (το οποίο μειώνεται κι άλλο ενώ μιλάμε) ώστε να έχει σημασία.

 

1 λέξη, Azure = πόροι on demand και ανάλογη υποστήριξη για fixes.