Slowloris: DoS para Apache

julio 1, 2009
En líneas generales, para generar un DoS (o DDoS) en un sitio con suficientes recursos, es necesario hacer uso de una botnet, un montón de ordenadores zombies a nuestro servicio, que efectúan peticiones de forma simultánea contra un objetivo común, configurable en tiempo y en lugar por el atacante. Al final, la denegación de servicio del objetivo se puede hacer efectiva por varias causas:
  • Porque el servidor o los servidores, son incapaces de contestar a tantas peticiones de forma simultánea
  • Alguno de los mecanismos intermedios (routers, switches, firewalls, balanceadores…) que atraviesan dichas peticiones se satura de peticiones y se ve incapaz de gestionar la marabunta
  • El ancho de banda disponible de dicha organización se ve desbordado y el tráfico lícito se pierde en un gran porcentaje o se degrada el servicio.

El DoS que os presentamos actualmente corresponde a los del primer tipo descrito.

Hace ya una semana que se ha dado a conocer una nueva herramienta que ha puesto los pelos de punta a la comunidad: Slowloris. El autor de la criatura, Robert Hansen, publicó en http://ha.ckers.org/ el código fuente y el funcionamiento básico.

Este “sencillo” script hecho en Perl implementa una potente e inteligente manera de generar una denegación de servicio sobre un servidor web Apache. Para ello, se basa en la cantidad de peticiones que es capaz de mantener un servidor web de forma concurrente. La forma de saturar el pool de servicios es mediante la creación de “requests” HTTP (con HTTPS también funciona) de manera que se empiezan a enviar cabeceras y más cabeceras al servidor de manera que así se fuerza a mantener abierta las conexiones por parte del servidor. Los servidores web tienen determinado un número máximo global de sockets permitidos (configurados en los ficheros correspondientes).

Se trata de un DoS localizado al servicio web en concreto, manteniendo el resto de los servicios de la máquina accesibles.

¿Cómo mitigarlo?
Madre mía, qué buena pregunta. La verdad es que tiene una respuesta complicada.

He encontrado en Internet multitud de módulos Apache que se pueden incluir en el servidor web para efectuar diferente tipo de restricciones. Describo un poco los que más me han llamado la atención:

  • mod_evasive: Este módulo sirve para gestionar el número de peticiones por IP hacia una misma página en concreto o hacia el servidor en general. Se configuran los umbrales que permitimos así como diferentes sistemas de notificación (bloqueo dinámico con IPTables, correo de notificación de detección de intento de DoS, Syslog, etc,…)
  • mod_limitipconn: Mediante este simple módulo, podemos restringir el número de peticiones origen desde una única IP hacia un servidor. Permite configurar diferentes políticas según el Location, el tipo de fichero a descargar, etc,… para “abrir la mano” y no provocar una autodenegación de servicio.
  • mod_ip_count: Aún más simple que los anteriores, comprueba si el número de peticiones HTTP desde una única IP excede un tamaño máximo definido durante un periodo de tiempo.
Con todos ellos, la verdad es que hay que tener mucho cuidado, puesto que si configuramos de una forma excesivamente restrictiva estos módulos podemos generar la denegación de servicio nosotros mismos. Esto ocurriría por ejemplo, si los visitantes del servidor web acceden al mismo utilizando la misma dirección IP. Esto sucede cuando todas las peticiones salen desde una misma red cuyo router o firewall efectúa un NAT utiliza una única IP pública hacia Internet (lo más normal del mundo) o mediante un proxy.

Otra posible solución para paliar un ataque hecho mediante Slowloris es modificar, en el propio servidor web, el valor del parámetro TimeOut así como KeepAliveTimeOut. Para el primero por defecto son 300 segundos (o sea 5 minutos), lo cual puede hacer que efectivamente nuestro Apache sea carne de DoS en un corto espacio de tiempo. Si lo modificamos a un valor inferior (sin pasarse, puesto que una vez más, peticiones legítimas dejarían de funcionar), obligaríamos a que el atacante con slowloris hiciera uso de más y más máquinas para consumirnos muchas conexiones en muy poco tiempo. El segundo valor es el tiempo que espera para más peticiones bajo una misma conexión persistente. Por defecto viene a 15 segundos; un valor inferior liberará antes los recursos de esas conexiones persistentes.

Dentro de la propia máquina que alberga Apache (si es un *NIX) se pueden utilizar las herramientas propias del kernel de la máquina o del cortafuegos integrado para establecer políticas de conexión por cada IP.

Asimismo, utilizar las opciones de configuración provistas por los dispositivos intermedios (como firewalls o IPSs) podrían ser de utilidad también, para mitigar el flujo de tráfico que permitimos hacia el servidor web.

Anuncios

Un “ataque” coordinado consiguió llenar YouTube de vídeos pornográficos

mayo 27, 2009

Un ataque premeditado y coordinado logró alojar en YouTube miles de vídeos pornográficos. Según PC World, el responsable ha sido ‘4Chan’, una página dedicada al manga. Estos internautas usaron nombres de personajes famosos como Hannah Montana para crear perfiles con los que subir los vídeos. Un internauta, con el nombre ‘Flonty’, ha explicado a la BBC que es uno de los responsables del ataque, junto a otros usuarios de la página de manga: “Lo hice porque YouTube sigue borrando música. Era parte del asalto de ‘4Chan’. Google, la compañía dueña de YouTube, ha dicho que ya se han borrado miles de vídeos pero que unos pocos aún persisten y que puede que lleve algún tiempo erradicarlos todos por completo. Asimismo, todas las cuentas implicadas en el ataque también están siendo borradas.

Fuente: barrapunto


Los fundadores de The Pirate Bay idean un ataque DDo$

mayo 13, 2009

Los 4 miembros del conocido portal de búsquedas de archivos torrent “The Pirate Bay” fueron condenados a un año de prisión y a pagar algo más de 2,7 millones de euros, en un juicio que podría catalogarse de poco imparcial. Esta sanción inspiró a Gottfrid Svartholm, uno de los 4 miembros del portal, a idear un método a través del que anima a pagar esta deuda, pero en cantidades pequeñas, de 1 corona sueca (SEK), unos 0,13 $. El fundamento del “ataque” está en que el banco no cobra por las primeras 1000 transacciones. A continuación cobra por cada una 2 SEK, con lo que el beneficiario tendría pérdidas en cada pago. ¿Se podría utilizar este tipo de pagos aquí para pagar las demandas contra blogs, portales,…?


El programa más costoso del Pentágono, víctima de ciberataques

abril 21, 2009

Espías informáticos han violado en repedidas ocasiones la seguridad del proyecto de armamento más costoso del Pentágono, el programa ‘Joint Strike Fighter’, que desarrolla el avión de combate F-35, y que tiene un coste de más de 232.000 millones de euros (300.000 millones de dólares).

Según publica el diario ‘The Wall Street Journal’, que cita funcionarios y ex funcionarios cercanos al citado proyecto, los intrusos fueron capaces de copiar y extraer datos relacionados con el diseño y los sistemas electrónicos que podrían usarse para facilitar la defensa contra un posible ataque del avión.

No obstante, los espías no pudieron acceder a los materiales más sensibles, ya que estos se mantienen en equipos que no están conectados a la Red, añade el diario.

Los intrusos entraron a través de vulnerabilidades en las redes de ciertos contratistas que participan en la construcción del avión de combate.

Lockheed Martin es el principal contratista, mientras que Northrop Grumman y BAE Systems también tienen importantes papeles en el proyecto. Lockheed Martin y BAE declinaron hacer comentarios a esta información, y Northrop se remitió a lo contestado por Lockheed, según el periódico estadounidense.

A pesar de la ausencia de declaraciones por parte del Pentágono, la Fuerza Aérea había comenzado una investigación.

De momeno no ha sido identificada ni la identidad de los atacantes y ni se han cuantificado los daños. Algunos ex funcionarios afirmaron los ataques parecen haberse originado en China, aunque señalaron que era difícil determinar el origen debido a la facilidad de ocultar la identidad ‘online’.

Por su parte, la Embajada de China en Washington asegura que “se opone y prohíbe todas las formas de delitos cibernéticos”.

Por otro lado, funcionarios del Pentágono informaron de que ha habido una serie de violaciones en los sistemas de control aéreo de la Fuerza Aérea de los EEUU en los últimos meses.

FUENTE :http://www.elmundo.es/elmundo/2009/04/21/navegante/1240297753.html


EEUU llevó a cabo un simulacro de ataque cibernético durante 5 días

marzo 15, 2008

Estados Unidos llevó a cabo durante cinco días una serie de ejercicios para comprobar su capacidad para desbaratar un simulacro de ‘ciber-ataque’ contra sus redes informáticas y de telecomunicaciones, informó el jueves el Gobierno estadounidense.

El conjunto de ejercicios de seguridad, bautizado ‘Cyber Storm II’, el más importante jamás realizado, tuvo por objetivo desviar los ataques cuya amenaza es “real y creciente”, indicó Robert Jamison, subsecretario de Estado para la Seguridad Interna y responsable del programa.

Expertos en seguridad de sistemas informáticos procedentes de cinco países, más de 40 empresas privadas y numerosas agencias gubernamentales participaron en el programa, para probar los sistemas de alerta existentes y tratar de identificar las deficiencias al compartir información entre diferentes sectores y en la coordinación de sus reacciones.

Los participantes tuvieron que enfrentarse a unos 1.800 ataques simulados, que fueron desde ‘hackers’ a un ataque informático de naturaleza política capaz de neutralizar suficientes redes como para necesitar de una respuesta coordinada a nivel internacional.

FUENTE :http://www.iblnews.com/story.php?id=35886