Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

D0z.me

2010.12.21. 12:41 | buherator | 6 komment

 A DDoS támadások forrása általában egy olyan botnet, melyet valamilyen szoftver sebezhetőség kihasználásával és nagyszabású spam-hadjáratokkal verbuváltak össze. Ben Schmidt egy olyan "URL-rövidítőt" rakott össze, amely megspórolhatja a sebzhetőségkeresésre, -kihasználásra,  valamint a védelmi szoftverek kijátszására fordított időt, és hagyományos kliens oldali szkriptek alkalmazázásával terhel túl webkiszolgálókat, így bárkiből lehet Médiahatóság.

A módszer lényegében semmilyen forradalmi ötletet nem tartalmaz, mégis igen hatékony lehet: a támadó a D0z.me URL-rövidítője számára megadhat egy linket valamilyen nagy érdeklődésre számott tartó (értsd: meztelen nős ill. kiscicás) weboldalra, valamint rögzíti a célpont címét is. A szolgáltatás által generált link ezután a hagyományos módokon, e-mail, Facebook vagy Twitter spamben terjeszthető. Amennyiben valaki a D0z.me linkjére kattint, a cicás oldal betöltődik egy IFRAME-be, a háttérben viszont két támadó folyamat is indul: az egyik hagyományos JavaScripttel véletlenszeű képeket kér le a valódi célponttól (ezt a módszert használják a 4chanesek is), a másik pedig HTML5-ös WebWorkerek segítségével indít lekérdezésáradatot. Utóbbi módszerről az Attack & Defense Labs munkatársai beszéltek a BlackHaten: a dolog lényege, hogy a WebWorkerek nagy teljesítménnyel (~10 000 kérés/másodperc) képesek lekérdezésekkel bombázni a célpontot, csak az eredmények visszaolvasása van korlátozva, de arra úgysem vagyunk kíváncsiak. 

A módszer hátránya, hogy a támadó kliensek viszonylag hamar kieshetnek (bezárják a böngészőablakot), de előnye, hogy platformfüggetlenül működik fullra patch-elt Windowsoktól kezdve a desktopon használt OpenBSD-kig bármilyen JS- illetve HTML5 képes böngészőből is. A szolgáltatás természetesen csak demonstrációs célokat szolgál, a forráskód letölthető innen.

Címkék: ddos html5 d0z.me

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hunger 2010.12.21. 13:06:34

A módszer gyengéje, hogy könnyedén blokkolható a támadás jó része a Referer headerben található URL-rövidítő-re írt szabály által.

buherator · http://buhera.blog.hu 2010.12.21. 13:40:44

@Hunger: Igaz, de több domainnel nehezíthető a dolog.

Hunger 2010.12.21. 14:15:19

@buherator: túl sok domain kellene hozzá, hogy valóban nehezítsen

Meister · https://www.facebook.com/Meister1977 2010.12.22. 14:17:42

Szegény firefox kirohad pár sec alatt, alig reagál utána... Na mindegy.
Maga az ötlet hatalmas!

Meister · https://www.facebook.com/Meister1977 2010.12.22. 14:18:36

IIS6 alatt az URLRewrite-ot lehet felparaméterezni, hogy referer alapján dobja el a kapcsolatot valami 1 byte-os static fájlra.

synapse · http://www.synsecblog.com 2010.12.24. 16:35:07

A tamadas otlete nem valami oriasi, ezt kitalalja egy okosabb skiddie is :)

Ha belegondolsz csak a userek ip-i szamitanak a karakterisztika-felismereshez. Ha mondjuk xss-elsz egy komolyabb forgalmu site-ot ahol atlagban 1000 nezo van allandoan akkor azzal mar fektethetsz egesz nagy oldalakat is, 1000 req/s mondjuk egy szamitasigenyes php-ra igencsak nagy problemakat tud okozni. Ha caching nincs akkor le is esett a site.

synapse