-
DoS-атака с малым использованием трафика выявляет уязвимость в Apache
Роберт "RSnake" Хансен, гуру в области безопасности, опубликовал новую утилиту для проведения DoS-атак, обнажившую серьезную уязвимость в веб-серверах Apache и ряде других серверов.
Хансен назвал свое творение "Slowloris - узкополосный, но жадный и ядовитый HTTP-клиент". В отличие от традиционных DoS-атак, бомбардирующих сайты огромными объемами трафика, Slowloris достигает того же результата используя небольшое число пакетов.
По словам Хансена, типичному рассылателю запросов может потребоваться 1000 машин, чтобы вывести из строя один сервер, поскольку для этого надо забить всю физическую полосу пропускания. А Slowloris почти вообще не использует трафик. Для начала атаки потребуется отослать тысячу пакетов, а на ее поддержание нужно лишь 200-300 пакетов в минуту. Так что осуществить нападение можно с одного-единственного компьютера.
Вместо того, чтобы бомбардировать сайт трафиком, Slowloris занимает все доступные соединения сервера, отсылая незавершенные http-запросы. Послав несколько сотен запросов, которые никогда не будут закрыты, можно заставить Apache очень долго ждать от них ответа. Веб-серверы подобные Apache ограничивают число потоков, которые они открывают в каждый отдельный момент времени. Ну а если они этого не делают, можно использовать истощение памяти или другие способы нападения.
Хансен подтвердил, что уязвимость имеется на веб-серверах Apache 1.x, Apache 2.x, dhttpd, GoAhead WebServer и Squid, однако действию данной атаки не подвержены IIS6.0, IIS7.0 и lighttpd, поскольку они могут работать с тем количеством открытых соединений, которое позволяют ресурсы.
По словам Хансена, атака не сработает против больших веб-сайтов, имеющих механизмы балансировки загрузки, однако в число уязвимых сайтов все равно входит много ресурсов на Apache, за исключением разве что новостных порталов и сайтов больших ритейлеров.
http://ha.ckers.org/blog/2009/06/
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Эммм... Squid это вэб-сервер?
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Эммм... Squid это вэб-сервер?
"Squid" - прокси-сервер по UNIX
http://squid.opennet.ru/
-
-
Хм.. SYN-flood в новом обличии..
Squid может и самостоятельно отдавать контент(напр. страницы ошибок или отказов).
Он так же может стоять перед web-server-ом, работая как акселератор
The worst foe lies within the self...
-
-
Идея, кажется, не нова. Как насчет ограничения количества соединений с одного адреса? Или "много прокси"?
-
-
The worst foe lies within the self...
-
Ответить с цитированием
