Slowloris: DoS para Apache


En líneas generales, para generar un DoS (o DDoS) en un sitio con suficientes recursos, es necesario hacer uso de una botnet, un montón de ordenadores zombies a nuestro servicio, que efectúan peticiones de forma simultánea contra un objetivo común, configurable en tiempo y en lugar por el atacante. Al final, la denegación de servicio del objetivo se puede hacer efectiva por varias causas:





Porque el servidor o los servidores, son incapaces de contestar a tantas peticiones de forma simultánea. Alguno de los mecanismos intermedios (routers, switches, firewalls, balanceadores...) que atraviesan dichas peticiones se satura de peticiones y se ve incapaz de gestionar la marabunta
El ancho de banda disponible de dicha organización se ve desbordado y el tráfico lícito se pierde en un gran porcentaje o se degrada el servicio.
El DoS que os presentamos actualmente corresponde a los del primer tipo descrito.

Hace ya una semana que se ha dado a conocer una nueva herramienta que ha puesto los pelos de punta a la comunidad: Slowloris. El autor de la criatura, Robert Hansen, publicó en http://ha.ckers.org/ el código fuente y el funcionamiento básico.

Este "sencillo" script hecho en Perl implementa una potente e inteligente manera de generar una denegación de servicio sobre un servidor web Apache. Para ello, se basa en la cantidad de peticiones que es capaz de mantener un servidor web de forma concurrente. La forma de saturar el pool de servicios es mediante la creación de "requests" HTTP (con HTTPS también funciona) de manera que se empiezan a enviar cabeceras y más cabeceras al servidor de manera que así se fuerza a mantener abierta las conexiones por parte del servidor. Los servidores web tienen determinado un número máximo global de sockets permitidos (configurados en los ficheros correspondientes).

Se trata de un DoS localizado al servicio web en concreto, manteniendo el resto de los servicios de la máquina accesibles.


¿Cómo mitigarlo?

 

Madre mía, qué buena pregunta. La verdad es que tiene una respuesta complicada.

He encontrado en Internet multitud de módulos Apache que se pueden incluir en el servidor web para efectuar diferente tipo de restricciones. Describo un poco los que más me han llamado la atención:

mod_evasive: Este módulo sirve para gestionar el número de peticiones por IP hacia una misma página en concreto o hacia el servidor en general. Se configuran los umbrales que permitimos así como diferentes sistemas de notificación (bloqueo dinámico con IPTables, correo de notificación de detección de intento de DoS, Syslog, etc,...)

mod_limitipconn: Mediante este simple módulo, podemos restringir el número de peticiones origen desde una única IP hacia un servidor. Permite configurar diferentes políticas según el Location, el tipo de fichero a descargar, etc,... para "abrir la mano" y no provocar una autodenegación de servicio.

mod_ip_count: Aún más simple que los anteriores, comprueba si el número de peticiones HTTP desde una única IP excede un tamaño máximo definido durante un periodo de tiempo.

Con todos ellos, la verdad es que hay que tener mucho cuidado, puesto que si configuramos de una forma excesivamente restrictiva estos módulos podemos generar la denegación de servicio nosotros mismos. Esto ocurriría por ejemplo, si los visitantes del servidor web acceden al mismo utilizando la misma dirección IP. Esto sucede cuando todas las peticiones salen desde una misma red cuyo router o firewall efectúa un NAT utiliza una única IP pública hacia Internet (lo más normal del mundo) o mediante un proxy.

Otra posible solución para paliar un ataque hecho mediante Slowloris es modificar, en el propio servidor web, el valor del parámetro TimeOut así como KeepAliveTimeOut. Para el primero por defecto son 300 segundos (o sea 5 minutos), lo cual puede hacer que efectivamente nuestro Apache sea carne de DoS en un corto espacio de tiempo. Si lo modificamos a un valor inferior (sin pasarse, puesto que una vez más, peticiones legítimas dejarían de funcionar), obligaríamos a que el atacante con slowloris hiciera uso de más y más máquinas para consumirnos muchas conexiones en muy poco tiempo. El segundo valor es el tiempo que espera para más peticiones bajo una misma conexión persistente. Por defecto viene a 15 segundos; un valor inferior liberará antes los recursos de esas conexiones persistentes.

Dentro de la propia máquina que alberga Apache (si es un *NIX) se pueden utilizar las herramientas propias del kernel de la máquina o del cortafuegos integrado para establecer políticas de conexión por cada IP.

Asimismo, utilizar las opciones de configuración provistas por los dispositivos intermedios (como firewalls o IPSs) podrían ser de utilidad también, para mitigar el flujo de tráfico que permitimos hacia el servidor web.

Fuente:
por Lorenzo Martínez
http://www.securitybydefault.com

Nota: hemos probado la aplicación y funciona excepcionalmente, ahora las herramientas que indica el sitio securitybydefault.com aún cuando ayudan no son efectivas ante una Botnet, tal como lo indica el autor de la nota. Empero es mejor colocarselas y esperar que no sea el caso de nuestro servidor un ataque de ese tipo con uso de botnets.



Otras noticias de interés:

Troyano Flashback desactiva Xprotect
La mas reciente versión del Troyano Flashback, Trojan-Downloader:OSX/Flashback.C, enmascarado en un falso instalador de Flash, desactiva el sistema de protección antitroyanos de Apple....
Festival de Instalación GNU/Linux en el ISEIT
Estamos organizando en el Instituto Superior de Estudios e Investigaciones Tecnológicas ISEIT el que vendría a ser el 4to Festival de Instalación, para mantener el esfuerzo de promoción de Linux y también con la idea de preparar el camino para...
Actualizaciones críticas para Firefox y Thunderbird
Mozilla ha publicado actualizaciones de seguridad para sus productos Firefox 2.x, Firefox 1.5.x y Thunderbird 1.5.x, y también para SeaMonkey 1.0.x....
Aumenta el impacto de los virus informáticos
En el año 2003, los ataques de virus han sido más frecuentes y costosos, según el último informe anual sobre incidencias víricas de ICSA Labs, del que se ha hecho eco The Register....
Hackers chantajean a sitios de Internet
San Francisco (EU), (EFE).- La industria pornográfica en Internet está sufriendo un inusual chantaje por parte de un pirata informático que exige dinero y ha colapsado ya varias páginas en la red que no han accedido a sus peticiones. ...
INTECO: Qué son las vulnerabilidades del software?
Una vulnerabilidad del software es un fallo de seguridad en una aplicación a través de la cual, un atacante puede llegar a comprometer la seguridad de todo el sistema sobre el que se ejecuta esa aplicación. ...
Infección por archivos musicales
Uno de los mitos que ya deberían haber sido descartados, pero que aun así muchos usuarios aún los creen, es la idea de que solo los archivos de extensiones ejecutables conocidas, como EXE, BAT o COM, pueden infectar un sistema....
Expertos con dudas sobre seguridad de Google Now
Los expertos recomiendan tener precaución al utilizar Google Now. El asistente inteligente incluido en la última actualización de Android ha generado dudas entre los profesionales de la seguridad, que consideran que sus funciones de búsqueda pued...
HVEN y ORION TEAM desaparecidos ???
Hace un tiempo ya. los grupos de hacking orion team venezuela (www.otv.org.ve) y hacker de venezuela (www.hven.com.ve) han desaparecid...
Vulnerabilidades en WhatsApp
Se han anunciado tres vulnerabilidades en WhatsApp que podrían afectar a la integridad y confidencialidad de los datos y mensajes de los usuarios de esta aplicación. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • dos
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • slowloris
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra