четверг, 13 октября 2011 г.

Интересный и опасный DDOS

Наткнулся на интересное описание варианта атаки DDOS. Метод называется slow HTTP POST. Является развитием атаки Slowloris. Впервые обнаружена в сентябре 2009 года Wong Onn 
Chee и его командой.

Смысл атаки в том, что мы посылаем POST запрос обычного вида. При этом в поле Content-length пишем, например, значение 1000 байт. Т.е. сервер понимает, что мы хотим отправить ему 1000 байт. Соответственно он их начинает ждать. А мы в ответ посылаем эти 1000 байт со скоростью 1 байт в 110 секунд. Если таких запросов 20 000 = DDOS. Исходя из реализации принципа атаки, атакующему не нужен скоростной канал. При этом, атаки такого типа будет на мой взгляд довольно сложно обнаружить. Т.к. формально ничего особенного не происходит. Просто у клиента медленный канал. Или это мобильный пользователь. 

Таким образом, web сервера, на которых есть формы для ввода данных (логин/пароль, webmail и т.д.) подвержены такой атаке. При этом вероятность такой атаки увеличивается, т.к. злоумышленники переходят на использование сетей 3G, а там скорости не супер.

Вариантом защиты может быть ограничение размера принимаемых данных. Если это логин и пароль то не нужно принимать в такое поле 1 Кб данных. Установить Request Timeout. Определить порог минимальной скорости. Но при этом есть вероятность отсечь пользователей с медленными каналами и мобильных пользователей.

В сети есть ПО для проверки уязвимости. И есть описание в виде презентации (на англ. языке).


Комментариев нет:

Отправить комментарий