Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Slowloris - HTTP hentelés

2009.06.18. 17:38 | buherator | 3 komment

A minap RSnake publikált egy Slowloris nevű kis eszközt, melynek segítségével könnyűszerrel megfektethetők bizonyos rosszul konfigurált, szálakat használó (pl. Apache...) webkiszolgálók. A támadást a szerző kis sávszélességigényű szolgáltatásmegtagadásként (de szép hosszú szavak, tuti kihagytam pár kötőjelet...) értékelte, de a lényeg azt hiszem a fenti "rosszul konfigurált" kifejezésen kell hogy legyen. Mivel a tömegsajtó is elkezdte átvenni a hírt, azt hiszem jó, ha még az apokalipszis-próféták előtt tisztába teszem a helyzetet:

A megoldás nagyban hasonlít a hagyományos SYN flood-hoz, leszámítva, hogy alkalmazási rétegben dolgozunk: HTTP kapcsolatokat nyitunk és tartunk nyitva egészen addig, amíg az ezekhez rendelt szálak fel nem emésztik a kiszolgáló erőforrásait. Mindez RSnake tesztjei szerint viszonylag kevés, mindössze néhány száz, szabályos időközönként elküldött kéréssel megoldható.

Ezeket, és az Apache piaci részesedését figyelembe véve a támadás igen veszélyesnek tűnhet, de fontos látni azt, hogy az Apache és feltehetően a többi érintett termék gyártói már jó előre számoltak ezzel a kockázattal, és hatékony védelmül szolgáló konfigurációs lehetőségeket adtak az adminisztrátorok kezébe a védekezéshez. Ez egy feature, nem pedig egy bug, ha úgy tetszik.

A Slowloris ettől függetlenül remek eszköz lehet a kiszolgálók tűrőképességének tesztelésére, különösen azért, mert nem kell a szerver teljes ledöglésével számolni, az eddigi tapasztalatok szerint a megtámadott gépek perceken belül visszaállnak az elárasztás végeztével.

Címkék: apache http dos slowloris

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

EQ · http://rycon.hu 2009.06.20. 16:44:40

végre volt időm elolvasni... Picit hypenak tűnik a dolog, szerintem semmi technikai extra nincs benne, vagy csak vmit félreértelmeztem?

buherator · http://buhera.blog.hu 2009.06.20. 20:38:08

@EQ: Egyetértek, ezért nem is akartam eleinte írni a dologról