Explorando falha de negao de servio HTTP POST Slowloris

Cincia Hacker 10 de abril de 20152 de fevereiro de 2016 1 Comentrio

Uma das falhas de segurana que foram mais exploradas em sites governamentais causando queda no servio foi o HTTP POST, uma
vulnerabilidade que afeta a camada da aplicao (camada 7) do modelo OSI permitindo explorar a negao de servio. Considerado um
dos ataques mais explora pelos hacktivistas que visam usar como marca esse tipo de ataque.

Ocorreu um erro.

Tente assistir o vdeo em www.youtube.com, ou ative o JavaScript caso ele esteja desativado em seu
navegador.

A ferramenta Slowloris foi desenvolvida em python a qual permite explorar com maior eficacia essa vulnerabilidade, funcionando da
seguinte maneira:
O Slowloris envia atravs de um processo multi-thread varias requisies parciais ao servidor Web, as quais no so completadas. De
um modo mais tcnico essas requisies parciais quando ele envia o SYN e espera o ACK como resposta, alocando recursos na
memria do servidor. Isso impacta muitos do servidores Apache desatualizado seguindo as seguintes especificaes:

Servidores Vulnerveis
Apache 1.x.x.
Apache 2.x.x (at 2.2.22)
Dhttpd

Servidores no Vulnerveis
IIS6.0
IIS7.0
Lighttpd
Nginx
Cherokee
Squid

Instalando e executando o Slowloris

Abra o terminal e digite o comando para fazer o download:
wget http://ha.ckers.org/slowloris/slowloris.pl
E agora comando para dar privilgio de acesso ao arquivo :
#chmod 777 slowloris.pl

Agora executamos ele com simples comando para atacar o alvo:

./slowloris.pl -dns www.cienciahacker.com.br
Ou podemos usar um comandos mais rebuscado, setando as opes:
# slowloris.pl -dns www.sitealvocom.br -port 80 -timeout 5 -num 5000 -cache

dns = Indica o alvo, podendo ser um IP ou uma URL.

port = Porta para o ataque.
-timeout = Tempo de espera entre cada ataque
-num = Nmero de pacotes que sero enviado.

Para CANCELAR o ataque aperte Ctrl + C

Vale a pena ressaltar a eficincia do ataque no est na quantidade link enviado, e sim na quantidade de pacote no servidor (obviamente
o seu link acelera o processo de envio do pacote). Ou seja at utilizando uma internet 3G possvel executar esse ataque com
eficincia, no entanto para o lado que defende existe alguns meio de correes no ataque:
Instalar o path mod_antiloris que corrige essa vulnerabilidade.
Criar regras no IPTABLES, como por exemplo quando feito uma requisio a partir de um tempo se ele no responder faz
drop no pacote.
# iptables -A FORWARD -p tcp syn -m limit limit 10/s -j ACCEPT
Atualizar a verso do Apache para mais a atual.