[ddos attack]Siege,rendere spiacevole la giornata di un SysAdmin

Posted on: 12 April 2010

È una delle tecniche di attacco più vecchie e allo stesso tempo più efficaci per far cadere un sito web:Il “Distributed Denial of Service Attacks” ovvero il DDOS.
Passano gli anni ma la sua forza non conosce ostacoli anzi, grazie allo sviluppo delle botte, si è addirittura rafforzato.

ClsHack ne aveva parlato diverse volte, nominando slowloris, ma ora vi spiegherò nel dettaglio come funziona…

Le tecnologie che ruotano attorno alla connettività e al web sono in forte crescita; non fa strano, ad esempio, avere connessioni da 20 mega a casa con un mega di upload.

Cresce inoltre anche il quantitativo di risorse server-side richieste dalle moderne applicazioni web: basti pensare ai forum, CMS, sistemi di commercio elettronico, e-banking e di tutto quanto faccia uso massiccio di risorse fisiche del server.
La correlazione di questi due fattori in crescita esponenziale fa capire che un attacco condotto da più host ad uno stesso bersaglio non ha certo gli stessi effetti di quelli che avrebbe potuto avere effettuato qualche anno fa con connessioni dialup.
Appoggiato anche dalle vulnerabilità presenti nei moderni sistemi operativi (Microsoft Windows in primis), il fenomeno dell’attacco DDoS assume caratteri sempre più preoccupanti.

Come detto, la predisposizione di determinati sistemi operativi ad essere facilmente attaccabili consente alla realizzazione di veri e propri arsenali di guerra messi a disposizione dell’attaccante: molti host compromessi spesso diventano inconsapevolmente parte di una “botnet” gestita dall’attacker, dove ogni host “zombie” concorre in piccolo (adsl compromesse) o in grande (reti di istituzioni ed aziende compromesse) a mettere KO qualunque server presente sulla faccia della terra.

Pensiamo a un forum scritto in php che si interfaccia ad un database MySQL: qualcosa, insomma, di molto diffuso online.
Al momento della visita sono almeno tre i processi server-side che si attivano sulla macchina: il server web con i suoi child, l’interprete e il DBMS con la sua decina di connessioni.
Se già da soli provassimo ad effettuare 100/200 connessioni contemporanee il carico da gestire sarebbe abbastanza elevato.
Domandiamoci ora che cosa accadrebbe se le 200 connessioni contemporanee provenissero altrettanto contemporaneamente da 10.000/20.000/100.000 host per un periodo di tempo illimitato.
Una rapida occhiata al carico di sistema ci confermerebbe immediatamente la nostra ipotesi e, salva l’adozione di particolari policy di sicurezza, nel giro di poco tempo l’host fisico non riuscirebbe più a gestire il carico.
Appare quindi evidente come la problematica posta in essere possa causare non pochi grattacapo a qualunque amministratore di sistema.

Strumenti per stressare le Web application sono alla portata di tutti, tra i più famosi citiamo naturalmente SlowLoris e SIEGE, un tool per Linux di http benchmarking che ben si presta agli esempi illustrati.
Per scaricarlo e ottenere maggiori informazioni andate sul sito ufficiale: http://www.joedog.org/ .
Resta inteso che SIEGE nasce per testare il comportamento delle nostre applicazioni Web sotto stress e non per essere utilizzato su più host contemporaneamente al fine di inoltrare migliaia di richieste ad un web server per compiere un attacco.

In molti casi, anche i firewall più potenti non riescono ad individuare questi tipi di attacchi, poichè a differenza dagli attacchi dos, queste richieste non vengono mandate da un singolo pc ma da molti perciò sembra quasi un normale sovraccarico di utenza, ignorata da firewall.

This entry was posted on Monday, April 12th, 2010 at 1:11 pm and is filed under Articles on GNU/Linux, GNU/Linux, Hacking, Software. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.