10

ago

Slowloris e gli attacchi DoS tramite http

Categorie:DoS e PoC, Exploit, Firewall, Local Hacking, News, Remote Hacking, Sicurezza, Software, Tecniche, Web Apps

Tags:Slowloris

Slowloris è un programma scritto in perl per effettuare attacchi DoS in un modo concettualmente rivoluzionario.

Di solito i vecchi programmi per effettuare il Denial mandavano una montagna di richieste TCP facendo o connessioni complete (TCP DoS) oppure connessioni parziali (SYN DoS), altri attacchi invece usano il protocollo ICMP.

Questo programma invece agisce sulle connessioni http creando un numero n di pacchetto con connessioni o infinite o con il massimo della longevità.

Un pacchetto inviato con slowloris può essere simile a questo:

GET / HTTP/1.1
Host: localhost
User-Agent: Mozilla/4.0 …
Connection: Keep-Alive
Accept-Encoding: identity, *;q=0
Accept-Language: en
Range: bytes=0-10

Quello che si nota effettuando in locale una simulazione d’attacco è che i risultati sono inaspettati, prima di ricevere un disservizio completo se ci sono delle limitazioni nella banda o nel database scattano quella, ad esempio se noi provassimo a fare un attacco del genere su un sito con un numero di query fisse prima di non avere risposta dal server avremo un messaggio del database che abbiamo finito il numero delle query a nostra disposizione oppure se noi ad esempio avessimo la possibilità di far scaricare ai nostri utenti solo un tot di mega scatterebbe quella limitazione e solo successivamente avremmo il server che non trasmette la pagina. Qui c’è una spiegazione in inglese di una prova effettuata con Slowloris e il suo effetto.

Uno dei pregi di tale programma è infatti anche che usa molta meno banda degli altri metodi per ottenere risultati più che soddisfacenti e che un normale webserver (anche Apache) riconosce le richieste come effettivamente lecite e quindi le processa, il che porta gli attacchi DoS a un livello finora mai raggiunto perché ricordiamo che i DoS menzionati prima si possono evitare con semplici regole del firewall o effettuando delle modifiche allo stack TCP/IP, di solito su sistemi windows ci si basa su modifiche al registro di sistema, su linux sulle iptables.

Slowloris è stato anche usato contro per il DDoS contro i server iraniani.

Ricordiamo che quanto detto qui è a scopo solamente illustrativo e non incitiamo nessuno a creare danni, anche perché se uno non sa cosa sta facendo rischia solo di essere scoperto prima di poter anche solo pensare di creare danno

(3 voti | Media: 3.67 su 5)

 Loading ...

• Digg it
• Add to del.icio.us
• Reddit
• Stumble
• 9 Commenti

9 COMMENTI

1. FMJ scrive:
   agosto 13th, 2009 alle 00:09

   Potresti farne un altro con qualche dritta per evitare questo tipo di DoS? (falle per tutti i sistemi o le versioni magari, per win ad esempio metti home, pro, hp, business, starter)

2. unsigned scrive:
   agosto 13th, 2009 alle 14:25

   Il DoS è efficace su tutti i sistemi che hanno attivo un web server, su come evitarlo mi devo informare ma se i server iraniani e quelli di twitter sono caduti non so se ci sia una cura così semplice xD

3. Caligola scrive:
   agosto 27th, 2009 alle 17:29

   che ficooo =)

   Io amo il perl perchè è lemmerosissimo >______<

4. R3m3mb3r scrive:
   gennaio 6th, 2010 alle 07:57

   Vorremmo iniziare un’affiliazione con voi. Se vi interessa, scriveteci qui:
   http://www.r3m3mb3r-hackerz.com/affiliamoci/

5. Enrico scrive:
   maggio 21st, 2010 alle 11:15

   A me, m par ‘na strunzata!
   Sopratutto non vedo cosa ci sia di così rivoluzionario in uno script che fa “n” richieste “GET”.

6. unsigned scrive:
   maggio 21st, 2010 alle 17:25

   1)parla in italiano
   2)se ha fatto fuori diversi server famosi significa che non è una “strunzata”
   3)googla prima di parlare
   4)kthxbye

7. Enrico scrive:
   maggio 31st, 2010 alle 08:49

   1 – a me, sembra verosimilmente l’ennesimo script non troppo utile.
   2 – pure il ping of death ha fatto fuori numerosi server famosi
   3 – ma perchè secondo te cosa cambia da bloccare un TCP SYN e un HTTP GET in caso di flooding?

   Infine: questo sarebbe l’elenco dei “famosi” server tirati giu:
   * Apache 1.x
   * Apache 2.x
   * dhttpd
   * GoAhead WebServer?

   Per quanto riguarda apache ci sarebbe un noto mod_evasive che credo basti (nel caso verifico e ti faccio sapere), per gli altri due boh

8. unsigned scrive:
   maggio 31st, 2010 alle 16:38

   1, 2, 3) Dipende dal sistemista in questione
   per il 3 c’è anche un modo per stabilire il limite di connessioni in php

   più che mettere una mod_evasive basta giocherellare sugli header e sulle configurazioni di apache

   Mi sembrava comunque degno di nota visto che ha tirato giù siti famosi e su un famoso host italiano dati i limiti su mysql potrebbe portare al deface di numerosi siti… Detto questo mi scuso per quello che sto per dirti ma io sono l’autore, mattia è l’admin, tu sei un utente che non è obbligato a leggere i miei articoli; tra l’altro questo blog non è più gestito, stiamo portando avanti (nel nostro tempo libero e più mattia di me) solo più il devblog; la noizia è vecchia, la maggiorparte dei webmaster si è data da fare e bom…

   p.s. le xss sono una vuln preistorica ma c’è ancora della gente che si fa defacciare (ho visto persino ancora dei cookie grabbing -_-) e gente che non le considera quindi…

9. Enrico scrive:
   giugno 7th, 2010 alle 09:25

   No ma forse m’avete frainteso! Non volevo minimamente essere aggressivo; se avessi ritenuto la cosa “poco valida” non avrei neanche lasciato un commento.

   Era proprio per intavolare una discussione ^_^

Inserisci il tuo commento