04.12
2011

DoS

Kategorie:  / Tags: no tag / Add Comment

Celkom často sa stretávame s informáciou o DDoS (distributed denial-of-service attack) útokoch na rôzne lukratívne ciele v sieti Internet. Ok, poviete si, že zohnať zdroje na účinný distribuovaný úrok je značne náročné a Vám sa to nemôže stať? Čiastočne s Vami musím súhlasiť, ako však zareagujete na fakt, že Váš webserver neustojí jednoduchý DoS postavený na jednom počítači / serveri / telefóne? Rovnako ako v živote, tak aj v digitálnom svete existujú dve možnosti -> sila a rozum. Zatiaľ čo voči presile (DDoS) je tažké sa ubrániť, rozumným testovaním - Stress testing si viete jednoducho preveriť, ako by ste ustáli “script kiddies” útok zameraný na odoprenie služby. Minimalizujete (?) tak prípadné riziká a pripravíte sa na situáciu, ktorá by možno neskôr nastala. Sledovanie a testovanie zraniteľností končiacich DoS je rovnako dôležité ako v prípade ostatných administrátorských úkonov.

Podľa môjho názoru všeobecne charakterizuje jednu časť útokov nasledovný text:

DDoS attack is about PersonA doing wrong, and PersonB punishing them for it. It doesn’t matter what your perception of “wrong” is. PersonA did something wrong in the eyes of PersonB, and that is all that matters.

Teda akýsi trest za “nesprávne” konanie. Druhým dôvodom býva zisk, resp. strata zisku / kreditu. Spoločnosť pripravuje spustenie internetového predaja nového výrobku na jeden konkrétny deň, no “niekto” má iný názor. Kredit – nie som expert, no nedokážem si dosť dobre predstaviť ako chce spoločnosť ponúkajúca penetračné testy, citujem časť textu: “Simulácia bezpečnostného útoku – nedostupnosť služieb” poskytovať kvalifikované konzultácie, ak nedokáže uchrániť ani svoj webový server pred jednoduchým odoprením služby Jeden z našich lokálnych “sec” serverov napríklad neustojí ani len krátky “burst” cez bezdrôtovú sieť. Stránky niektorých politických strán a “nášho najvyššieho” sú na tom rovnako #uberfail

Ak čo i len dočasne prídete o svoje služby ide o záležitosť straty “nejakých” finančných prostriedkov, no najmä kreditu. Azda so mnou budete súhlasiť, ak Vám v skratke načrtnem reálny príbeh nešťastnej konfigurácie Apache, ktorý sa nám podarilo “uspať” pomocou mobilného telefónu! V realite si teda vychutnávate obed v reštaurácii s bezdrôtovým pripojením zatiaľ čo Váš mobil nezaháľa. Takýto úskok je prakticky nevystopovateľný.

Azda prvý krok ako spoznať chovanie vlastného webservera je simulácia DoS pomocou verejne dostupných nástrojov. Preklad popisu zraniteľnosti z anglického jazyka považujem za zbytočný a ponechávam v pôvodnom znení…

Apache httpd Remote Denial of Service (memory exhaustion)

Koncom Augusta 2011 uverejnil Kingcope krátky skript (CVE-2011-3192) schopný položiť väčšinu Apache serverov pomocou zraniteľnosti využívajúcej tzv. Partial Content/Range header.

killapache sends GET requests with multiple “byte ranges” that will claim large portions of the system’s memory space. A “byte range” statement allows a browser to only load certain parts of a document, for example bytes 500 to 1000. It is normally used while downloading large files. This method is used by programs such as download clients to resume downloads that have been interrupted; it is designed to reduce bandwidth requirements. However, it appears that stating multiple unsorted components in the header can cause an Apache server to malfunction. Will result in swapping memory to filesystem on the remote side plus killing of processes when running out of swap space. Remote System becomes unstable.

 

killapache.pl

root@bt:~/dos# perl killapache.pl xyz.xyz.xyz.xyz 1250

host seems vuln

ATTACKING xyz.xyz.xyz.xyz [using 1250 forks]

:pPpPpppPpPPppPpppPp

ATTACKING xyz.xyz.xyz.xyz [using 1250 forks]

:pPpPpppPpPPppPpppPp

 

Killapache rovnako spôsobuje odoprenie služby v prípade niektorých verzií LightTPD. Na tento fakt som narazil náhodou, zhruba po hodine ma prechádzanie (ne) zasiahnutých verzii prestalo baviť. Podelím sa s Vami aspoň o niektoré čísla:

Affected::

LightTPD/1.4.18 (Win32) – potrebuje reštart

LightTPD/1.4.22 (Win32)

LightTPD/1.4.23 (Win32)

LightTPD/1.4.26 (Win32)

LightTPD/1.4.28 (Win32)

LightTPD/1.4.28-1 (Win32)

Not affected:

LightTPD/1.4.19 (Win32)

LightTPD/1.4.20 (Win32)

LightTPD/1.4.23-1 (Win32)

KillApachePy

Miroslav Štampar prepísal pôvodný exploit do jazyka Python, od verzie v0.1c je možné zvoliť si metódu GET/POST. Niekto tvrdí, že je podarenejší / účinnejší ako pôvodný kód, ja tento pocit nezdieľam.

“4L4N4 K!LL3R”

je ďalší prepis (PHP) originálneho Killapache pozostávajúci z dvoch módov – test a xploiting. Autor „S4(uR4″, ide o variantu
určenú pre anonymný útok využívajúci zraniteľný server tretej strany.

Ani-Shell

ide o jednoduchý PHP shell určený pre “manipulovanie” so serverom. Medzi jeho hlavné funkcie patrí aj DDoser.  Cez Ani-Shell je možné využiť prakticky celú kapacitu linky na ktorej je daný zraniteľný server. Zľahka prepálite 100 GB za 10 sekúnd na slušnej linke… Tento shell určite nechcete mať na svojom serveri :)

XerXes

je príkladom programátorskej “šikovnosti”. Bol to práve XerXes zodpovedný za útok na Wikileaks. Zatiaľ čo jednoduchú verziu nájdete v sieti, k tej privátnej sa tak ľahko nedostanete. Pôvodne som si myslel, že autorom je th3j35t3r, no našiel som originálny zdrojový kód patriaci LulzSec, ktorý je na 100% rovnaký. Záleží na tom vôbec? Faktom je, že XerXes je krátky a jednoduchý skript, na ktorý th3j35t3r neskôr prirobil GUI.

“XerXes requires no zombie network or botnet to be effective. Once a single attacking machine running XerXeS has smacked down a box, it’s down, there is no need for thousands of machines. But, XerXeS does not hurt intermediary nodes along its path to the target. So the answer is that such institutions’ systems would still be intact, as it causes no collateral damage, just not functional.”

XerXes GUI:

Slowloris

Slowloris sme už spomínali v článku Slowloris HTTP DoS story , postupom času vznikol prepis, ktorý anonymizuje útočníka cez sieť TOR, znova teda ide o prakticky nevystopovateľný útok voči serveru.

 ./slow-tor blah.net 80

Thread Started]

[Connect blah.net :80]

[cycle_identity -> signal NEWNYM

[Thread Started]

[Connect blah.net :80]

[Thread Started]

[Connect blah.net :80]

Low Orbit Ion Cannon

Low Orbit Ion Cannon, v skratke LOIC, je open source aplikácia pôvodne vyvinutá spoločnosťou Praetox Technologies na testovanie odolnosti voči DDoS útokom. Pôvodná verzia LOIC bola napísaná v C# a pomenovaná podľa zbrane v hre Command & Conquer. Neskôr vznikla aj obdoba v jazyku JavaScript pre použitie webovým prehliadačom. Nástupom rôznych Anonymous kampaní bol využívaný v útokoch na rôzne organizácie počas rokov 2010 a 2011. Po skončení “operácie” Payback bolo niekoľko desiatok jednotlivcov zatknutých v niekoľkých štátoch.

Xen0n Apache Attacker

Xenon vyzeral ako boom, v krátkom čase sa ukázalo, že ide o kópiu Slowloris s drobnými úpravami.

Porovnanie slowloris.pl  vs. xen0n.pl

http://pastebin.com/RtqVG5Ld

SSL DDOS Tool

tento nástroj určený pre exploitovanie zraniteľnosti v SSL bol uverejnený Nemeckou hackerskou skupinou známou pod názvom The Hacker’s Choice. (Read the source Luke)

The tool exploits a weakness in SSL to kick a server off the Internet. A tool to stress test the SSL handshake by triggering processor intensive RSA_encrypt() calls on the server side. Establishing a secure SSL connection requires 15x more processingpower on the server than on the client.THC-SSL-DOS exploits this asymmetric property by overloading theserver and knocking it off the Internet.This problem affects all SSL implementations today. The vendors are awareof this problem since 2003 and the topic has been widely discussed.This attack further exploits the SSL secure Renegotiation featureto trigger thousands of renegotiations via single TCP connection.

Pri jeho kompilácii sa pravdepodobne (BT5R1) stretnete s chybovou hláškou “WARNING: OPENSSL LIBRARIES ARE TO OLD! UPDATE THEM!\n“. Potrebujete balík libssl-dev, zvyšok je nasledovný:

wget http://openssl.org/source/openssl-1.0.0e.tar.gz

tar -xvzf openssl-1.0.0e.tar.gz

cd openssl-1.0.0e

make

mv ../openssl-1.0.0e /opt/

cd ../thc-ssl-dos-1.4

./configure –prefix=/opt/thc-ssl-dos –with-includes=/opt/openssl-1.0.0e/include/ –with-libs=/opt/openssl-1.0.0e/

make

make install

SQL Denial of Service Attacks

SQL Denial of Service je útok postavený na jednoduchom základe zneužitia vyhľadávacieho formu. Vyhľadávanie špeciálneho reťazca môže zapríčíniť vysoké vyťaženie CPU a vyťaženie databázového servera tak, že tento bude nedostupný pre iných užívateľov. SQL server je vyťažený na 100% po dobu niekoľkých minúť a query vráti nulu, pričom každý jeden riadok v databáze bol prehľedaný. Opakovanie = SQL DOS. Príklad takéhoto útoku môžete nájsť na blogu Strictly Software.

Zoznam nie je úplný, chýba napr. šikovný LetDown, no poučenie je azda jasné. Hostingové spoločnosti a ich administrátori musia testovať odolnosť svojich serverov voči DoS útokom. Kúsok s telefónom bol úplne mimo naše očakávania, no prekvapení sme boli niekoľko krát. Väčšina serverov spoločnosti, ktorá nám poskytuje svoje služby bola zraniteľná voči týmto typom jednoduchých útokov. Problém je aktuálne vyriešený + náš web sa stal súčasťou CloudFlare komunity. Veríme, že tento krok nám zabezpečí dodatočnú ochranu voči mnohým druhom internetových škodcov s ktorými sa neustále stretávame.

Súvisiace články: T50 Sukhoi PAK FA Mixed Packet InjectorSlowloris HTTP DoS story, Airstorm – Wi-Fi smash   

No Comment..

Add Your Comment

Your Comment