медленная тетя Дося


В последнее время стали популярны атаки на отказ ака DoS и DDoS.

Всякие анонимусы делают «Tango Down» различным государственным сайтам стран третьего мира.

Среди массы различных техник атак хотелось бы выделить slow HTTP POST, популярную среди script kiddies.

Популярна эта атака потому, что можно положить маленький сайт всего с одного атакующего компа, даже при узком канале связи.

На Хабре довольно понятно разжевали всю суть.

Slow HTTP POST атака работает следующим образом: злоумышленник отправляет POST заголовок с легитимным полем «Content-Length», которое позволяет веб серверу понять, какой объём данных к нему поступает. Как только заголовок отправлен, тело POST сообщения начинает передаваться с очень медленной скоростью, что позволяет использовать ресурсы сервера намного дольше, чем это необходимо, и, как следствие, помешать обработке других запросов. Несколько тысяч таких соединений могут положить веб сервер на несколько минут. Если ваша система имеет веб интерфейс, то данный вид атак позволит «положить» его без особых проблем.

Возможно ты уже задался вопросом:

как же мне задосить сайт моего одноклассника или одногруппника по садику?

Да очень просто.

Хорошие люди уже давно все сделали за нас, а именно написали реализацию атаки на различных языках.

Мне понравилась популярная реализация на perl — Slowloris.

Да, честно говоря, другие реализации я и не рассматривал, лень.

Подробнее про скрипт можно почитать на сайте его создателя: http://ckers.org/slowloris/

Скачать отседова: http://ha.ckers.org/slowloris/slowloris.pl

Открыв исходный код Slowloris и промотав в конец (G), можно прочитать описание различных опций и познавательную инфу.

Банальная атака осуществляется вот так:

./slowloris.pl -dns google.com -port 80 -timeout 500 -num 100500

Вот так поступают злые киддисы с порносайтами конкурентов. http://www.youtube.com/watch?v=cgdPha1nOAA

Хочу заметить, что атака slow HTTP POST не работает с движками nginx и lighttpd.

Это потому, что теоретически у nginx нет ограничения на кол-во соединений и он жрет гораздо меньше ценных ресурсов, чем индеец.

Практически же можно заддосить хоть военкомат, но «оно мине надо»?

Вот какой-то хрен протестировал nginx на предмет этой уязвимости.

Мораль: переходи на nginx и радуйся жизни.

Хотя, если ты до сих пор на IIS, то вирус тебе в Internet Explorer.

comments powered by Disqus